1分钟攻破Win7+JRE7 SyScan360猛料不断

ZDNET安全频道 08月27日 综合消息：由中国最大的安全厂商360承办的2013年SyScan360国际前瞻信息安全会议，即将于9月24日在京举行。来自趋势科技的著名安全专家古河将出席大会，并带来《1分钟用Java原生层漏洞搞定Win7+JRE7》的主题演讲。目前业内多关注Java沙盒漏洞的安全威胁，而Java原生漏洞利用难度较大，业内对其鲜有关注，古河针对Java原生漏洞高级利用技巧的探讨，将极具技术含量与深度。

图：演讲嘉宾资料与大会期间讨论的议题

Java由于能够提供“一次编译,到处运行”(Write Once,Run Anywhere)的好处,已成为分布式应用的标准开发平台。由于Java本身就是针对Internet和分布式计算的特点而设计的,因此它在设计时就内置了强大而又灵活的安全机制。在JRE 7及其后续版本中，出于安全考虑，Java默认启用了一系列新的安全特性,这使得要在Win7(以及之后)的版本中成功利用Java原生漏洞变得十分困难。

在最常见的漏洞排行榜中，Java漏洞仍位居首位，报告显示45.26%的计算机中均包含Java安全漏洞，因此即使Java原生漏洞的利用极为困难，黑客也将其视为业内重要的技术攻坚战。在今年的SyScan360大会上，古河作者将介绍一种简单而稳定的Java原生层漏洞利用方法，据悉，使用该方法他可以在1分钟内将Java原生层漏洞POC变成Windows7/JRE 7上可用的Exploit。

据了解，演讲人古河已经拥有超过5年的信息安全从业经历，目前在趋势科技中国研发中心担任软件架构师。他的研究方向包括漏洞挖掘利用、沙盒技术和 APT攻击解决方案。据古河本人透露，他还是一名资深动漫宅。

据大会主办方介绍，本次大会还邀请到了来自美国、德国、澳大利亚、新加坡等地的顶级安全专家和优秀黑客参会，专注探讨互联网信息安全前瞻技术，研讨议题将涵盖iOS6、Java、UAC、Android等多个安全热点。目前，SyScan360大会的注册报名工作正在如火如荼的进行，有兴趣或立志在安全行业有所作为的个人或是团体均可通过syscan360.org官网进行注册报名。