1分鐘攻破Win7+JRE7 SyScan360猛料不斷

由中國最大的安全廠商360承辦的2013年SyScan360國際前瞻信息安全會議，即將于9月24日在京舉行。來自趨勢科技的著名安全專家古河將出席大會，并帶來《1分鐘用Java原生層漏洞搞定Win7+JRE7》的主題演講。目前業(yè)內(nèi)多關(guān)注Java沙盒漏洞的安全威脅，而Java原生漏洞利用難度較大，業(yè)內(nèi)對其鮮有關(guān)注，古河針對Java原生漏洞高級利用技巧的探討，將極具技術(shù)含量與深度。

Java由于能夠提供“一次編譯,到處運行”(Write Once,Run Anywhere)的好處,已成為分布式應(yīng)用的標(biāo)準(zhǔn)開發(fā)平臺。由于Java本身就是針對Internet和分布式計算的特點而設(shè)計的,因此它在設(shè)計時就內(nèi)置了強(qiáng)大而又靈活的安全機(jī)制。在JRE 7及其后續(xù)版本中，出于安全考慮，Java默認(rèn)啟用了一系列新的安全特性,這使得要在Win7(以及之后)的版本中成功利用Java原生漏洞變得十分困難。

圖：演講嘉賓資料與大會期間討論的議題

在最常見的漏洞排行榜中，Java漏洞仍位居首位，報告顯示45.26%的計算機(jī)中均包含Java安全漏洞，因此即使Java原生漏洞的利用極為困難，黑客也將其視為業(yè)內(nèi)重要的技術(shù)攻堅戰(zhàn)。在今年的SyScan360大會上，古河作者將介紹一種簡單而穩(wěn)定的Java原生層漏洞利用方法，據(jù)悉，使用該方法他可以在1分鐘內(nèi)將Java原生層漏洞POC變成Windows7/JRE 7上可用的Exploit。

據(jù)了解，演講人古河已經(jīng)擁有超過5年的信息安全從業(yè)經(jīng)歷，目前在趨勢科技中國研發(fā)中心擔(dān)任軟件架構(gòu)師。他的研究方向包括漏洞挖掘利用、沙盒技術(shù)和 APT攻擊解決方案。據(jù)古河本人透露，他還是一名資深動漫宅。
據(jù)大會主辦方介紹，本次大會還邀請到了來自美國、德國、澳大利亞、新加坡等地的頂級安全專家和優(yōu)秀黑客參會，專注探討互聯(lián)網(wǎng)信息安全前瞻技術(shù)，研討議題將涵蓋iOS6、Java、UAC、Android等多個安全熱點。目前，SyScan360大會的注冊報名工作正在如火如荼的進(jìn)行，有興趣或立志在安全行業(yè)有所作為的個人或是團(tuán)體均可通過syscan360.org官網(wǎng)進(jìn)行注冊報名。

SyScan2013官網(wǎng)：http://syscan360.org