12月13日，國際頂級的安全技術(shù)峰會SyScan360首次在北京舉行。安全廠商360作為會議承辦方，邀請了來自微軟、谷歌等世界頂級專家演講，360工程師任寰和王宇作為國內(nèi)廠商代表也將分享最新的研究成果。在第一天會議上，來自COSEINC公司的高級分析師Moti Jospeh發(fā)表了題為《IE瀏覽器中的內(nèi)存破壞利用》的主題演講，受到現(xiàn)場數(shù)百名與會者的歡迎。

作為COSEINC公司的高級安全漏洞研究員、移動開發(fā)人員，Moti Jospeh介紹了最近微軟公司IE瀏覽器的多種漏洞，都是通過內(nèi)存破壞的方式實現(xiàn)的。他總結(jié)，任何程序中的Bug都可分為兩類：一種是bug導致錯誤代碼被執(zhí)行，程序會立刻產(chǎn)生明顯的異常行為；一種是bug破壞變量、數(shù)據(jù)結(jié)構(gòu)、文件等程序狀態(tài)，程序會在之后的某個時刻表現(xiàn)出異常。

Moti表示，有些黑客熱衷于尋找內(nèi)存破壞漏洞，除了為出名以外，謀取經(jīng)濟利益也是主要原因，有時程序的錯誤就是黑客的金錢。他舉例說，Adobe軟件曾被某黑客發(fā)現(xiàn)一個漏洞，最終以7.5萬美元（約合51.2萬人民幣）的價格出售。他表示，在這樣高額的收入誘惑下，黑客尋找漏洞的熱情自然很高。對于軟件廠商來說，這顯然是嚴峻的挑戰(zhàn)。

Moti介紹，目前0Day漏洞的平均價格因軟件不同也有較大差異，其中Adobe軟件漏洞價格較低，平均0.5萬至3萬美元一個。相對來說，IE和Chrome瀏覽器漏洞、iOS系統(tǒng)漏洞價格較高iOS漏洞價格可高達10萬至25萬美元。

Moti Jospeh還現(xiàn)場演示了一些漏洞被執(zhí)行的情況。他總結(jié)出了尋找內(nèi)存破壞漏洞的三種主要方法：Fuzz技術(shù)、二進制審查和上網(wǎng)搜索。

SyScan前瞻信息安全技術(shù)年會是亞洲最為知名的網(wǎng)絡信息安全會議之一，自2004年在新加坡首次舉辦以來已成功了8次會議。今年SyScan首次登陸北京，攜手中國第一大互聯(lián)網(wǎng)安全公司奇虎360合力舉辦，開放時間為12月13日至14日，來自谷歌、微軟、麥咖啡、趨勢科技、奇虎360等國際安全廠商和安全組織的專家發(fā)表主題演講，覆蓋Windows內(nèi)核、瀏覽器以及移動互聯(lián)網(wǎng)三大安全領(lǐng)域。