由HP TippingPoint主辦、Google贊助的駭客大賽Pwn2Own週三(3/6)於加拿大溫哥華開幕,第一天四大瀏覽器中Google Chrome、Mozilla Firefox與微軟的Internet Explorer 10均遭駭客入侵成功,只剩下蘋果的Safari倖存。近日頻傳零時差漏洞與攻擊事件的Java也遭多組駭客成功入侵。
第一天成績最好的駭客團隊是來自法國的資安公司VUPEN,他們使用兩個漏洞成功在一台運行Windows 8 Pro的Surface Pro平板電腦中入侵IE 10,贏得10萬美元的獎金與該台Surface Pro。該團隊透過Twitter表示,他們使用兩個IE 10漏洞繞過Windows 8的沙箱保護系統。
VUPEN在第一天結束前利用一個漏洞入侵Windows 7中的Firefox 19,贏得6萬美元獎金。在Java方面他們也完成破解,不過落後於英國資安公司Context顧問James Forshaw,後者贏得獎金兩萬美元,為此次競賽中獎金最低的獎項。
英國資安公司MWR InfoSecurity旗下實驗室團隊使用多個Windows 7或Chrome 25的漏洞進行攻擊,成為此次競賽中第一個攻下Chrome瀏覽器的團隊,贏得獎金10萬美元。該團隊主要是破解Windows 7的保護機制ASLR與DEP取得系統權限,跳過沙箱保護系統的限制。
此次競賽將在周五結束,目前仍有Safari瀏覽器、Adobe Reader與Adobe Flash三項還未被攻擊成功。VUPEN團隊向媒體表示會挑戰入侵Adobe Reader與Adobe Flash。
根據資安公司Sophos表示,Pwn2Own競賽的攻擊成功代表駭客可以在使用者瀏覽惡意網頁時感染、控制其系統。該公司也指出,Safari尚未被攻破不代表該瀏覽器比較安全,也可能是OS X漏洞較少等因素,甚至只是因為6.5萬美元獎金過少讓駭客沒有參加競賽的誘因而已。
Google於3/7也在該地舉辦Pwnium 3駭客競賽,不過挑戰的目標不是瀏覽器,而是Chrome OS,總獎金3.14159百萬美元。(編譯/沈經)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
