Pwn2Own是全世界最著名挎扰、獎金最豐厚的黑客大賽翠订,由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下 TippingPoint 的項(xiàng)目組ZDI(Zero Day Initiative)主辦遵倦,谷歌尽超、微軟、蘋果梧躺、Adobe等互聯(lián)網(wǎng)和軟件巨頭都對比賽提供支持似谁,通過黑客攻擊挑戰(zhàn)來完善自身產(chǎn)品。
3月15-16日掠哥,2018 Pwn2Own 比賽落下帷幕棘脐,截至目前,主辦方 Zero Day Initiative 已經(jīng)為獲獎?wù)咛峁┝私痤~為 267,000 美元的獎金 和 26 點(diǎn)數(shù)獎勵龙致,獲得 5 個蘋果漏洞蛀缝、2 個 Oracle 漏洞、4 個微軟漏洞以及1個 Mozilla 漏洞目代。
蘋果 Safari 瀏覽器被攻破了兩次
3 月 16 日消息屈梁,加拿大溫哥華 Pwn2Own 2018 黑客大賽進(jìn)行到第二天,蘋果 Safari 瀏覽器就已經(jīng)被攻破了兩次榛了。其中一個團(tuán)隊(duì)在 30 分鐘內(nèi)經(jīng)過三次嘗試就擊破了瀏覽器防線在讶,而另一個團(tuán)隊(duì)則在四次嘗試之后也完成了破解。
目前 Pwn2Own 2018 針對蘋果 Safari 瀏覽器的破解結(jié)果已經(jīng)發(fā)布到了“Zero Day Initiative”相關(guān)頁面上霜大。
據(jù)來自黑客大賽的相關(guān)消息了解构哺,其中來自 MWR 實(shí)驗(yàn)室的 Alex Plaskett、Georgi Geshev 和 Fabi Beterke 三位大神战坤,通過兩個漏洞擊破了?Safari 瀏覽器的沙盒模式曙强,一個是瀏覽器中的堆緩沖區(qū)溢出漏洞,另一個是?macOS 的未初始化的堆棧變量漏洞途茫。該團(tuán)隊(duì)的也因此獲得了 55000 美元將近以及 5 個 Pwn 點(diǎn)數(shù)碟嘴。
第二個破解團(tuán)隊(duì)來自 Ret2 Systems 公司,由 Markus Gaasedele囊卜、Nick Burnett 和 Patrick Biernat 三位大神上陣操刀娜扇,他們利用了 macOS 內(nèi)核提升特權(quán)漏洞來攻擊 Safari,不過他們在第四次嘗試之后才真正利用漏洞實(shí)現(xiàn)破解栅组。其實(shí)利用這一漏洞在本屆黑客大賽的規(guī)則里面雀瓢,并不算真正的實(shí)力,甚至可判為失敗玉掸,但確實(shí)在可用于競爭的規(guī)定范圍內(nèi)刃麸,而且根據(jù) ZDI 的正常程序,該漏洞也會被購買并向蘋果披露排截。
Firefox嫌蚤,Edge 瀏覽器均被攻破
據(jù)悉辐益,Richard Zhu 大神是本次大賽的贏家断傲,今年在大賽中總共賺到了 12 萬美金脱吱,畢竟今年 Pwn2Own 2018 總共才發(fā)放了 26.7 萬美元的獎金。雖然他在 Pwn2Own 2018 第一天因?yàn)槌瑫r而沒能攻破 Safari 瀏覽器认罩,但是他隨后成功利用 Windows 內(nèi)核的 EoP 漏洞攻破了 Mozilla 的 Firefox 瀏覽器箱蝠,因此他也拿到了 5 萬美元獎金和 5 個 Pwn 點(diǎn)數(shù)。另外同樣在瀏覽器這一塊垦垂,他還利用 UAF 漏洞擊破微軟 Edge 瀏覽器宦搬,拿走 7 萬美元獎金。
Pwn2Own 黑客大賽從 2007 年就一直舉辦至今劫拗,主要是鼓勵黑客發(fā)現(xiàn)并披露一系列針對軟件和硬件造成影響的漏洞间校,便于制造商及時進(jìn)行修補(bǔ),大賽上黑客只要成功展示利用漏洞入侵页慷,便可獲得現(xiàn)金獎勵和 Pwn 大師積分憔足。
從 Safari 到 iPhone,在過去 11 年里蘋果諸多產(chǎn)品都是被破解對象酒繁,但幾乎每一年 Safari 瀏覽器和 iPhone 都未能幸免滓彰,去年 iPhone 7 就是被 Richard Zhu 大神所破解。
但是遺憾的是州袒,在本屆Pwn2Own大會上揭绑,Zhu無法在規(guī)定的30分鐘時間內(nèi)從沙箱中逃脫。
Pwn2Own 2018再度說明郎哭,沒有絕對安全的系統(tǒng)和軟件他匪,黑客一出手,獎金便到手夸研!
別跑诚纸!快點(diǎn)贊
