12月13日，國際頂級的安全技術峰會SyScan360首次在北京舉行。安全廠商360作為會議承辦方，邀請了來自微軟、谷歌等世界頂級專家演講，360工程師任寰和王宇作為國內廠商代表也將分享最新的研究成果。在第一天會議上，來自COSEINC公司的高級分析師Moti Jospeh發(fā)表了題為《IE瀏覽器中的內存破壞利用》的主題演講，受到現場數百名與會者的歡迎。

作為COSEINC公司的高級安全漏洞研究員、移動開發(fā)人員，Moti Jospeh介紹了最近微軟公司IE瀏覽器的多種漏洞，都是通過內存破壞的方式實現的。他總結，任何程序中的Bug都可分為兩類：一種是bug導致錯誤代碼被執(zhí)行，程序會立刻產生明顯的異常行為；一種是bug破壞變量、數據結構、文件等程序狀態(tài)，程序會在之后的某個時刻表現出異常。

Moti表示，有些黑客熱衷于尋找內存破壞漏洞，除了為出名以外，謀取經濟利益也是主要原因，有時程序的錯誤就是黑客的金錢。他舉例說，Adobe軟件曾被某黑客發(fā)現一個漏洞，最終以7.5萬美元（約合51.2萬人民幣）的價格出售。他表示，在這樣高額的收入誘惑下，黑客尋找漏洞的熱情自然很高。對于軟件廠商來說，這顯然是嚴峻的挑戰(zhàn)。

Moti介紹，目前0Day漏洞的平均價格因軟件不同也有較大差異，其中Adobe軟件漏洞價格較低，平均0.5萬至3萬美元一個。相對來說，IE和Chrome瀏覽器漏洞、iOS系統漏洞價格較高iOS漏洞價格可高達10萬至25萬美元。

Moti Jospeh還現場演示了一些漏洞被執(zhí)行的情況。他總結出了尋找內存破壞漏洞的三種主要方法：Fuzz技術、二進制審查和上網搜索。

SyScan前瞻信息安全技術年會是亞洲最為知名的網絡信息安全會議之一，自2004年在新加坡首次舉辦以來已成功了8次會議。今年SyScan首次登陸北京，攜手中國第一大互聯網安全公司奇虎360合力舉辦，開放時間為12月13日至14日，來自谷歌、微軟、麥咖啡、趨勢科技、奇虎360等國際安全廠商和安全組織的專家發(fā)表主題演講，覆蓋Windows內核、瀏覽器以及移動互聯網三大安全領域。