ISC 2022漏洞与防护前瞻研究论坛：共商数字时代漏洞威胁的应对之道

数字时代，一切都架构在软件、网络、大数据之上，安全漏洞数量持续增长，类型日趋多样化，众多事件型漏洞及高危零日漏洞已成为具备强大威慑力的武器，让全球数字空间面临着前所未有的威胁挑战。

为有效联动各方共同应对漏洞威胁，第十届互联网安全大会（ISC 2022）漏洞与防护前瞻研究论坛于近日成功举办。本次论坛重磅邀请业内权威安全专家、白帽黑客代表、技术负责人，基于不同的漏洞安全问题、漏洞利用细节、漏洞防护策略等，共同探讨应对漏洞威胁挑战的破局之道，助力全方位保障数字空间免受潜在威胁。

由于Fuzzing是当下最常用的软件漏洞自动化发现技术，中科院软件所副研究员和亮在《面向释放后重用漏洞的根因分析和修复》的主题演讲中表示，现实场景中，伴随模糊测试技术的不断发展，崩溃的数量越来越多，能力也越来越强。这种前提下，漏洞根因分析可以有效呈现漏洞的可利用性和产生原因，对于漏洞的修复有着不可或缺的推动作用。

中科院软件所副研究员和亮

奇点实验室高级安全研究员冯柱天和奇点实验室安全研究员何豪杰则在《JS漏洞的挖掘与利用》的主题演讲中，重点对于现有 JS Fuzzing 技术进行了全面的介绍与回顾，基于传统覆盖率导向方法在Language Fuzzing 领域的提升和泛化，提出了其设计的一种全新的JS样本评估方法，并介绍了一个通过 Fuzzing 系统发现的具有代表性的 V8 引擎安全漏洞。

奇点实验室高级安全研究员冯柱天

奇点实验室安全研究员何豪杰

360漏洞研究院安全研究员姜伟鹏也同样在《利用生成式Fuzz挖掘Chrome PDFium漏洞》的主题演讲中，基于Chrome PDFium漏洞的挖掘，详细介绍了生成式Fuzz的具体实现及相关效果。作为chrome浏览器中使用的PDF插件，PDFium是一个被广泛使用的开源PDF工具。该工具遵循Adobe PDF的标准，可以通过嵌入JS的方式来在PDF中实现复杂的功能，但这也引入了许多安全漏洞。姜伟鹏在演讲中介绍的生成式Fuzz，是基于开源工具afl_domato实现，已经在PDFium中发现了9个UAF漏洞和一些空指针使用问题。

360漏洞研究院安全研究员姜伟鹏

除此之外，针对诸多安全漏洞的热点话题，众多参会的演讲嘉宾也带来了精彩的内容分享。蚂蚁安全非攻实验室负责人欧阳瑜基于今年爆发的Spring远程代码执行漏洞，以《Spring4Shell背后的的开源软件供应链安全思考和实践》为题，从漏洞的整体概述、实际影响、防御策略，以及基于该漏洞背后的开源软件供应链安全保障思考四个方面揭示了该漏洞背后的核心本质，并指出开源软件供应链安全是一个行业广泛关注的话题，也是难题，需要全社会上下游力量的共同参与和努力。

蚂蚁安全非攻实验室负责人欧阳瑜

随着5G的出现，家用IOT设备数量持续增长，其所引发的安全问题也日益凸显。360漏洞研究院安全研究员苏熙杰、贺乾真与梁翔轩则针对NAS设备面临的漏洞威胁问题，带来了题为《云中探秘NAS漏洞探索之旅》的主题演讲，深度剖析了NAS设备的攻击面寻找、攻击思路、设备RCE利用链等研究过程。

360漏洞研究院安全研究员贺乾真

360漏洞研究院安全研究员苏熙杰

而OPPO高级攻防安全工程师陈武在题为《浅谈Android安全审计&高效漏洞挖掘技术》的分享中，则通过回顾和分析常见的AOSP native相关漏洞，基于其挖掘的原生漏洞进行实战讲解，总结出了一些AOSP漏洞挖掘中常见的套路和方法，并对基于CodeQL和人工代码审计在AOSP上漏洞挖掘的方向和潜力作出展望。

OPPO高级攻防安全工程师陈武

论坛的最后，中科院软件所副研究员和亮、蚂蚁安全非攻实验室负责人欧阳瑜、OPPO高级攻防安全工程师陈武，以及360漏洞研究院安全研究员贺乾真与姜伟鹏共同围绕《数字时代的漏洞威胁应对之道》展开圆桌探讨，几位业内权威专家以打造更加安全的防护体系为目标，提出了诸多建设性的参考意见。

伴随数字化技术的不断演进，漏洞已经上升到国家安全战略资源的新高度，其所带来的威胁将直接影响到国家安全、社会安全、城市安全、关键基础设施安全等。本次ISC 2022漏洞与防护前瞻研究论坛的成功召开，将进一步推动数字安全的高质量发展，为全球数字空间构建出互利共赢的安全新生态。

-END-