近期，百度隐私安全研究人员入选 2021 年度“微软安全响应中心 (MSRC) 最具价值安全研究者”榜单。

“微软安全响应中心 (MSRC) 最具价值安全研究者荣誉榜” 旨在全球范围内表彰对微软安全生态系统做出的突出贡献安全研究人员。此榜单有严格的评选标准，不仅基于在评选周期内提交的漏洞报告数量，还考虑所提交漏洞报告的影响力和准确度因素。荣誉榜会在每年全球顶级安全盛会 BlackHat 公布。

图1 “微软安全响应中心 (MSRC) 最具价值安全研究者”评奖标准

来源：https://msrc-blog.microsoft.com/2021/02/10/msrc-security-researcher-recognition-2021/

此次入榜主要表彰百度研究人员在微软机密计算框架的安全评估和漏洞发现。研究人员上报总计 9 个漏洞，包括 Open Enclave SDK、CCF 框架等，准确度 100%。目前已修复的由百度安全提交的安全漏洞 CVE 编号如 CVE-2020-15244、CVE-2020-16966：

• CVE-2020-15244 是存在于 Microsoft Open Enclave SDK 框架中的堆栈越界读漏洞，可以泄露任意长度 Enclave 应用中的敏感信息。

• CVE-2020-16966 是存在于 Microsoft Open Enclave SDK 框架中的任意代码执行漏洞，可以绕过 Enclave ECall Gateway，直接跳转至 Enclave 应用中任意代码地址，进而泄露、修改应用中的任意数据。

图3 SGXRay 将在 BlackHat USA 2021 会议期间发布和演示