Pwn2Own駭客競賽四大瀏覽器全被攻陷

由HP Zero Day Initiative主辦、ZDI與Google贊助的Pwn2Own駭客大賽於上周三（3/12）展開為期兩天的競賽活動，今年該賽事邀請資安專家攻陷7大軟體平台，四大主要瀏覽器在此次競賽中全被攻陷。

今年Pwn2Own鎖定的7大軟體分別是IE、Firefox、Chrome、Safari、Java、Adobe Flash與Adobe Reader，利用未被曝光的軟體漏洞成功攻陷各軟體的團隊或個人就可贏得獎金，總獎金高達108.5萬美元，創下Pwn2Own競賽的獎金紀錄。

IE與Firefox的駭客競賽排在首日，第二天則有Safari與Chrome，這四大瀏覽器在兩天內的賽事中全被攻陷。有一研究人員透過資料越界的讀寫在Firefox上執行程式，另一名研究人員則找出Firefox上的兩個安全漏洞。安全團隊Vupen繞過IE的沙箱機制而造成物件混淆，有兩名研究人員成功攻陷兩個IE漏洞；Safari及Chrome也各被找到可繞過沙箱並導致程式執行的漏洞。

此次競賽的最大贏家應是來自法國的漏洞研究機構Vupen，該團隊專門銷售漏洞資訊予政府及執法機構，他們在第一天就成功入侵了IE 11、Firefox、Adobe Flash與Adobe Reader，第二天再入侵Chrome瀏覽器，總計抱走了40萬美元的獎金，亦創下該競賽單一團隊的獎金紀錄。

此次還有來自中國的隊伍Keen，Keen團隊利用堆疊溢出（heap overflow）及繞過沙箱的手法攻陷了Adobe Flash及Safari，共取得了6.5萬美元獎金。所有被攻擊的漏洞或人侵方式都會提交給軟體製造商以進行修補。（編譯/陳曉莉）