近日，微軟向全球用戶發(fā)布了2016年的***波安全補丁。此前在Pwn2Own 2015世界黑客大賽上***破解IE11瀏覽器的亞洲團隊360Vulcan Team再度發(fā)力，獲得微軟Edge瀏覽器全球***深度防御致謝。

公告鏈接：https://technet.microsoft.com/library/security/MS16-002

MS16-002詳情：https://technet.microsoft.com/library/security/MS16-002

據(jù)悉，微軟Defense-in-depth（深度防御）致謝是微軟從2014年開始提出的、對于幫助微軟改進產(chǎn)品安全的安全專家的新型致謝方式。和針對報告特定安全漏洞的致謝不同，深度防御致謝通常代表了微軟藉由報告者提供的漏洞信息帶來的啟發(fā)，對微軟操作系統(tǒng)或應(yīng)用程序的安全性能進行了深度的優(yōu)化和改進。這些改進能給對應(yīng)的系統(tǒng)內(nèi)核或應(yīng)用程序帶來更徹底、更深入的安全防御能力。而能夠提供深度防御信息的安全研究人員，通常也都對系統(tǒng)和應(yīng)用程序的內(nèi)部機制有著非常深入的理解和與眾不同的思路。

微軟***針對深度防御信息進行致謝，是在2014年的6月的補丁日。其中，IE瀏覽器補丁MS14-035中，針對IE進行了深度防御修改。在這次修改中，微軟致謝了來自日本Cyber Defense Institute公司的安全研究人員Noriaki Iwasaki。

根據(jù)微軟官網(wǎng)的致謝信息統(tǒng)計，在2014、2015年間，微軟針對IE瀏覽器、微軟Office、Windows Installer服務(wù)和微軟Graphics等微軟產(chǎn)品或組件中相關(guān)的深度防御改進，分別共發(fā)布過13次致謝。其中，Cyber Defense Institute公司和Google安全團隊分別獲得過兩次致謝。 韓國“神童”lokihardt也在2015年9月通過其在Pwn2own 2015中攻破Google Chrome瀏覽器所使用的Windows內(nèi)核漏洞，獲得了針對Windows內(nèi)核驅(qū)動的***深度防御致謝。中國安全研究者***獲得深度防御致謝，則是在2015年3月，由綠盟科技的張云海針對IE瀏覽器提出的深度防御改進而獲得。

相比2014、2015年間微軟總共修補的983個安全漏洞，13個深度防御致謝顯得十分地“稀有”，這也體現(xiàn)了深度防御致謝的含金量。

而自從微軟在2015年4月公布了隨著Windows 10一起發(fā)布、用于取代IE瀏覽器、代號為Spartan的下一代瀏覽器開始后，全球的安全研究者也開始了針對微軟下一代瀏覽器的安全挑戰(zhàn)。這個后來被正式命名為“Edge”的微軟下一代瀏覽器，不只是換了名字，在安全性上也做了長足、徹底和深入的改進。它通過默認開啟的增強保護模式、移除大量容易引入安全問題的兼容機制，以及漏洞防御的新技術(shù)“MemGC”等等方式，使其安全性相比過去的IE瀏覽器有了質(zhì)的飛躍。

微軟對新的Edge瀏覽器安全性信心十足，在Windows 10正式發(fā)布前，它推出了針對Edge瀏覽器漏洞“賞金計劃”。只要研究人員發(fā)現(xiàn)并報告Edge瀏覽器中任何安全漏洞，就可以獲得500到15000美金不等的“賞金”獎勵。當然，這微軟的“賞金”并非輕松可得，因為就連國外專做漏洞買賣軍火生意的“掮客”，也在長嘆高價也買不到針對Edge瀏覽器的高質(zhì)量漏洞。 

于是，在漏洞安全研究方面有著多年經(jīng)驗的360Vulcan Team團隊接受了挑戰(zhàn)。在短短兩個月的“賞金計劃”期限內(nèi)，360Vulcan Team找到了Edge瀏覽器的三處安全漏洞，被列入微軟Edge瀏覽器”賞金計劃“榮譽榜中， 在全球范圍的安全研究團隊中***。

（微軟Edge瀏覽器”賞金計劃“ 榮譽榜 截圖）

微軟”賞金計劃“榮譽榜：

https://technet.microsoft.com/en-us/security/dn469163.aspx

而面對Edge瀏覽器從內(nèi)測到發(fā)布后，9個月內(nèi)無人獲得Edge瀏覽器深度防御致謝的情況， 360Vulcan Team當然也不甘示弱。他們通過給微軟提交安全漏洞，并和微軟的技術(shù)專家一起協(xié)作在1月份的補丁中改進Edge瀏覽器的安全，在全球***獲得了微軟Edge瀏覽器的深度防御致謝。同時，這也是國內(nèi)安全研究人員***次獲得對任一微軟組件或產(chǎn)品的***深度防御改進致謝。

作為360安全衛(wèi)士的攻防研究團隊，360Vulcan Team始終致力于挖掘軟件的漏洞威脅并為廠商提供解決方案。僅在2015年，該團隊就獲得了微軟公司26次漏洞致謝，Adobe 55次漏洞致謝，蘋果公司5次漏洞致謝以及谷歌公司1次漏洞致謝，漏洞致謝總數(shù)在全球范圍內(nèi)僅次于Google Project Zero團隊，在國內(nèi)更是***于其他安全團隊。

在瀏覽器安全攻防方面，360Vulcan Team有著獨到的心得。2015年P(guān)wn2Own黑客大賽中，該團隊僅用17秒率先攻破***的IE11瀏覽器，締造了亞洲團隊***攻破IE目標的歷史。

據(jù)悉，在發(fā)布1月份安全補丁的同時，微軟也正式宣布放棄對IE11以下版本瀏覽器提供安全支持，并鼓勵用戶安裝Windows 10和Edge瀏覽器。這意味著，Edge作為微軟下一代瀏覽器，隨著Windows 10的大力推廣，已經(jīng)成為微軟最重要的戰(zhàn)略產(chǎn)品。不出意外，它很快將會成為桌面用戶的***瀏覽器。

可以預(yù)見，未來將有更多的安全從業(yè)人員致力于挖掘微軟Edge瀏覽器的安全漏洞，進一步保護用戶的上網(wǎng)安全。360VulcanTeam作為國內(nèi)團隊，領(lǐng)先于全球其他安全團隊率先獲得Edge瀏覽器的***次深度防御致謝，代表著國內(nèi)安全研究人員向著國際***的專業(yè)水平和趨勢看齊，更具有里程碑式的意義。