Pwn2Own黑客大赛攻破大多数主要浏览器



一些安全研究人员上周四(3月13日)在黑客挑战赛Pwn2Own的第二天演示了攻击谷歌Chrome、微软IE、苹果Safari、Mozilla火狐和Adobe Flash Player等浏览器软件的零日攻击安全漏洞,总共获得45万美元奖金。

法国安全漏洞研究公司Vupen的一个团队利用影响到WebKit和Blink渲染引擎中的一个释放后使用(use-after-free)安全漏洞攻破了谷歌Chrome浏览器。然后,这些安全研究人员成功地绕过Chrome浏览器的沙箱保护,在这个浏览器的底层系统执行任意代码。

黑客挑战赛Pwn2Own每年在温哥华举行的CanSecWest安全会议上举行一次。上周三,在这次竞赛的第一天,Vupen的那个团队还攻破了IE、火狐、Flash Player和Adobe Reader等软件。

另一个著名的研究人员上周四演示了Chrome浏览器的一个远程执行代码安全漏洞。但是,竞赛裁判宣布这个结果只是部分获胜,因为这个攻击的细节与早些时候谷歌自己举行的Pwnium黑客大赛中演示的一个安全漏洞类似。

著名的iPhone和PlayStation 3黑客George Hotz演示了攻击火狐浏览器的远程执行代码安全漏洞,使这次竞赛第四次攻破火狐浏览器。除了Vupen团队之外,安全研究人员JA1/4ri Aedla和Mariusz Mlynski在这次竞赛的第一天通过利用不同的安全漏洞也攻破了火狐浏览器。

研究人员Sebastian Apelt和Andreas Schmidt演示了攻击微软IE浏览器的一个基于浏览器的安全漏洞。这个安全漏洞是把两个释放后使用安全漏洞与一个Windows内核漏洞联系在一起以便打开Windows计算器应用,实施远程执行代码。

中国著名安全研究团队“Keen Team”的另一位研究人员Liang Chen(陈亮)把堆溢出安全漏洞与一个绕过沙箱的措施结合在一起实现了通过苹果Safari浏览器远程执行代码。他和team509团队的研究人员同事Zeguang Zhou(周泽光)然后演示了攻击Adobe Flash Player的远程执行代码安全漏洞。

在Pwn2Own竞赛中利用的全部安全漏洞都将与受影响的产品的厂商分享。

在这次竞赛的第二天和最后一天赢得的奖金达到了创纪录的85万美元。这不包括慈善捐赠或者研究人员在成功完成破解之后赢得的笔记本电脑的价值。

在另一个名为Pwn4Fun的黑客挑战赛中,谷歌的安全研究人员与主持Pwn2Own竞赛的惠普DVLabs零日计划(ZDI)团队的研究人员展开了竞赛。谷歌团队攻破了苹果Safari浏览器。ZDI团队通过把多个安全漏洞结合在一起攻破了微软IE 11浏览器。这次竞赛为加拿大红十字会筹集了82.5万美元善款。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐