近日，微軟向全球用戶發布了2016年的第一波安全補丁。此前在Pwn2Own 2015世界黑客大賽上首次破解IE11瀏覽器的亞洲團隊360Vulcan Team再度發力，獲得微軟Edge瀏覽器全球首個深度防御致謝。

公告鏈接：https://technet.microsoft.com/library/security/MS16-002

MS16-002詳情：https://technet.microsoft.com/library/security/MS16-002

據悉，微軟Defense-in-depth（深度防御）致謝是微軟從2014年開始提出的、對于幫助微軟改進產品安全的安全專家的新型致謝方式。和針對報告特定安全漏洞的致謝不同，深度防御致謝通常代表了微軟藉由報告者提供的漏洞信息帶來的啟發，對微軟操作系統或應用程序的安全性能進行了深度的優化和改進。這些改進能給對應的系統內核或應用程序帶來更徹底、更深入的安全防御能力。而能夠提供深度防御信息的安全研究人員，通常也都對系統和應用程序的內部機制有著非常深入的理解和與眾不同的思路。

微軟首次針對深度防御信息進行致謝，是在2014年的6月的補丁日。其中，IE瀏覽器補丁MS14-035中，針對IE進行了深度防御修改。在這次修改中，微軟致謝了來自日本Cyber Defense Institute公司的安全研究人員Noriaki Iwasaki。

根據微軟官網的致謝信息統計，在2014、2015年間，微軟針對IE瀏覽器、微軟Office、Windows Installer服務和微軟Graphics等微軟產品或組件中相關的深度防御改進，分別共發布過13次致謝。其中，Cyber Defense Institute公司和Google安全團隊分別獲得過兩次致謝。 韓國“神童”lokihardt也在2015年9月通過其在Pwn2own 2015中攻破Google Chrome瀏覽器所使用的Windows內核漏洞，獲得了針對Windows內核驅動的首個深度防御致謝。中國安全研究者首次獲得深度防御致謝，則是在2015年3月，由綠盟科技的張云海針對IE瀏覽器提出的深度防御改進而獲得。

相比2014、2015年間微軟總共修補的983個安全漏洞，13個深度防御致謝顯得十分地“稀有”，這也體現了深度防御致謝的含金量。

而自從微軟在2015年4月公布了隨著Windows 10一起發布、用于取代IE瀏覽器、代號為Spartan的下一代瀏覽器開始后，全球的安全研究者也開始了針對微軟下一代瀏覽器的安全挑戰。這個后來被正式命名為“Edge”的微軟下一代瀏覽器，不只是換了名字，在安全性上也做了長足、徹底和深入的改進。它通過默認開啟的增強保護模式、移除大量容易引入安全問題的兼容機制，以及漏洞防御的新技術“MemGC”等等方式，使其安全性相比過去的IE瀏覽器有了質的飛躍。

微軟對新的Edge瀏覽器安全性信心十足，在Windows 10正式發布前，它推出了針對Edge瀏覽器漏洞“賞金計劃”。只要研究人員發現并報告Edge瀏覽器中任何安全漏洞，就可以獲得500到15000美金不等的“賞金”獎勵。當然，這微軟的“賞金”并非輕松可得，因為就連國外專做漏洞買賣軍火生意的“掮客”，也在長嘆高價也買不到針對Edge瀏覽器的高質量漏洞。 

于是，在漏洞安全研究方面有著多年經驗的360Vulcan Team團隊接受了挑戰。在短短兩個月的“賞金計劃”期限內，360Vulcan Team找到了Edge瀏覽器的三處安全漏洞，被列入微軟Edge瀏覽器”賞金計劃“榮譽榜中， 在全球范圍的安全研究團隊中遙遙領先。

（微軟Edge瀏覽器”賞金計劃“ 榮譽榜 截圖）

微軟”賞金計劃“榮譽榜：

https://technet.microsoft.com/en-us/security/dn469163.aspx

而面對Edge瀏覽器從內測到發布后，9個月內無人獲得Edge瀏覽器深度防御致謝的情況， 360Vulcan Team當然也不甘示弱。他們通過給微軟提交安全漏洞，并和微軟的技術專家一起協作在1月份的補丁中改進Edge瀏覽器的安全，在全球首次獲得了微軟Edge瀏覽器的深度防御致謝。同時，這也是國內安全研究人員第一次獲得對任一微軟組件或產品的首次深度防御改進致謝。

作為360安全衛士的攻防研究團隊，360Vulcan Team始終致力于挖掘軟件的漏洞威脅并為廠商提供解決方案。僅在2015年，該團隊就獲得了微軟公司26次漏洞致謝，Adobe 55次漏洞致謝，蘋果公司5次漏洞致謝以及谷歌公司1次漏洞致謝，漏洞致謝總數在全球范圍內僅次于Google Project Zero團隊，在國內更是遙遙領先于其他安全團隊。

在瀏覽器安全攻防方面，360Vulcan Team有著獨到的心得。2015年Pwn2Own黑客大賽中，該團隊僅用17秒率先攻破最新的IE11瀏覽器，締造了亞洲團隊首次攻破IE目標的歷史。

據悉，在發布1月份安全補丁的同時，微軟也正式宣布放棄對IE11以下版本瀏覽器提供安全支持，并鼓勵用戶安裝Windows 10和Edge瀏覽器。這意味著，Edge作為微軟下一代瀏覽器，隨著Windows 10的大力推廣，已經成為微軟最重要的戰略產品。不出意外，它很快將會成為桌面用戶的首選瀏覽器。

可以預見，未來將有更多的安全從業人員致力于挖掘微軟Edge瀏覽器的安全漏洞，進一步保護用戶的上網安全。360VulcanTeam作為國內團隊，領先于全球其他安全團隊率先獲得Edge瀏覽器的第一次深度防御致謝，代表著國內安全研究人員向著國際頂尖的專業水平和趨勢看齊，更具有里程碑式的意義。