[导读]北京时间3月25日上午消息,据国外媒体报道,国际CanSecWest安全会议在温哥华开幕,同时第四届PWN2OWN
2010黑客大赛也拉开帷幕,成功攻破目标的参赛者除了得到高额奖金之外,还将直接获得自己攻陷的笔记本或手机。与之前主办方就预测的那样,在众多浏览器中,苹果Safari再次成为首个被攻破的浏览器。
20秒黑掉iPhone
http://s15/middle/4dcaada9g82a33bd9223e&6902010黑客大赛" TITLE="深度报道:全球PWN2OWN 2010黑客大赛" />
Vincenzo Iozzo和Ralf Philipp Weinmann
安全研究员Vincenzo Iozzo(现年22岁,来自逆向工程技术公司Zynamics)和Ralf Philipp
Weinmann(曼现年32岁,来自卢森堡大学)演示了如何通过一个特制的网站攻破打满补丁的iPhone。据科技博客ZDNet的零日安全专栏介绍,Safari
漏洞可以让安全研究员窃取所有的短信数据,甚至包括已经删除的短信。
两位安全研究员发现这个漏洞距离现在仅有两周的时间。他们表示,该漏洞还可以泄露电话薄,照片和iTunes文件。他们并没有透露关于此漏洞的更多信息,但此次攻击演示是在打满补丁的iPhone
3GS(固件为3.1.3)上。他们利用了一种尚未透露的方法对iPhone的Safari浏览器进行攻击,从而控制了iPhone,随后又运行了一个程序,将这款iPhone的短信发送到了一个网络服务器中。
两位安全研究员赢取了15,000美元的现金,并且可以保留被攻破的iPhone手机。Pwn2Own计划先向苹果报告此漏洞,待苹果发布补丁后再公布此漏洞的细节。
据悉,这是苹果2008年发布iPhone 2.0操作系统以来,这款手机首次被攻破。苹果针对iPhone
2.0推出了一系列高端安全措施,包括在设备核心中整合“沙盒”(sandbox),该技术可以对黑客攻击起到限制作用。除此之外,苹果还增加了加密签名机制,从而增加了黑客的攻击难度。
苹果Safari重蹈覆辙
在PWN2OWN
2010黑客大赛上,Independent Security Evaluators首席安全分析师Charlie
Miller利用Safari的漏洞率先拿下了一台MacBook Pro,并获得了10000美元奖金。其实,为了备战PWN2OWN
2010黑客竞赛,苹果在本月中旬为Safari浏览器发布补丁修复了16处漏洞,不过仍然没有逃脱首个被攻破的命运。
http://s3/middle/4dcaada9g82c9ee743612&6902010黑客大赛" TITLE="深度报道:全球PWN2OWN 2010黑客大赛" />
PWN2OWN 2010上的Charlie Miller(左)
在PWN2OWN 2009竞赛上,Miller仅用了10秒就拿下了Safari
4,作为奖赏,他获得了5000美元奖金和攻破的MacBook笔记本。情况在2008年也如出一辙,当年,Miller在2分钟内抢先攻破了Mac
OS X上的Safari浏览器,赢得了这台笔记本以及10000美元奖金。
PWN2OWN
2010黑客竞赛开赛前几日,Miller就表示他已经发现了Mac OS
X系统中存在的20多个漏洞,并会在CanSecWest安全大会上公开披露。谈及Windows与Mac OS
X在安全方面的差别时Miller说:“Mac OS
X就像位于乡下的一间未上锁的农舍,Windows则是处于治安较差城镇中的一所仅仅窗户装有栅栏的房间。在苹果用户的心中,他们不存在安全方面的大问题,这是因为苹果的漏洞还未触及他们的底线。”
FF、IE相继沦陷 唯有Chrome独善其身
Google Chrome成为在大赛首日唯一幸免的网页浏览器。Apple's Safari, Mozilla’s
Firefox和Microsoft’s Internet Explorer
8均被发现存在重大安全漏洞,并全部阵亡。
Dutch安全机构研究员Peter
Vreugdenhil也成功利用IE8的多个漏洞攻破了64位Winows
7操作系统,他因此获得了1万美元的奖金和一部Windows电脑。微软IE团队全程见证了洛格丹希尔的攻击过程。微软发言人表示,目前尚未获得细节信息,但等到大赛组委会搜集了攻击信息后,他们会尽快做出响应。Peter使用四层攻击绕过了DEP和ASLR黑掉了Windows
7上的IE8,他表示开发这个破解代码只花费了不到一周的时间。
http://s13/middle/4dcaada9g82ca0f6dd0ec&6902010黑客大赛" TITLE="深度报道:全球PWN2OWN 2010黑客大赛" />
Peter Vreugdenhil(右)
来自InfoSecurity的Nils成功在64位Windows 7上攻破了Firefox
3,利用一个已知的内存破坏漏洞他使用calc.exe绕过了DEP和ASLR,这和Peter攻破IE8如出一辙。
http://s7/middle/4dcaada9g82ca134b1826&6902010黑客大赛" TITLE="深度报道:全球PWN2OWN 2010黑客大赛" />
Nils
第一天结束时只有Google
Chrome幸存了下来,除了其沙盒模式为浏览器提供了较强的安全防护之外,还有一个重要的原因使Chrome幸免于难,那就是几乎没有人尝试去对Chrome做什么。引用Miller去年对Chrome的评价:“Chrome虽然也存在不少Bug,但是你很难去利用它。”
除此之外,谷歌Chrome和火狐浏览器以及黑莓、谷歌Nexus
One和诺基亚E72等多款手机也被列为本次黑客大赛的攻击目标。(大璞不完)
加载中,请稍候......
加载中…
(2010-03-26 01:00:56)