Pwn2Own:浏览器血雨腥风独活Chrome 智能手机波澜不惊单挂iphone

【51CTO.com 综合报道】首先向持续关注Pwn2Own的51CTO网友们问好,接下来将向大家报告一条疑似2009年新闻的新闻。历史惊人的相似,继2009年火狐、IE、Safari全挂,Chrome夺冠之后,2010年再次上演的同样的情形,虽然比赛还没有结束,但笔者可以大胆的提前宣布,Chrome这次又要夺冠了。
 
文/ 王文文
 
在比赛即将开始前几天,苹果和谷歌突然大量发放补丁,给本来胸有成足的黑客们来了个措手不及。不过依仗对苹果Safari浏览器的熟悉,黑客天王米勒还是顺利攻破Mac,拿走了1万美元和一个Mac笔记本。
 
而攻破IE8的这位荷兰黑客,真可谓是一流高手。他面对的原本就是业内认为安全性较高的Windows7加IE8组合(需要击败ASLR 地址空间随机设定和DEP 数据执行保护两大保镖),偏偏攻的还是64位Windows7,使比赛的精彩程度再次提高一个档次。
 
“加载进IE的一个模块给了我基础地址,我用它过了ALSR。然后我又用它过了DEP”,在接受采访时,攻破IE8的Peter Vreugdenhil表示。在现场微软技术团队的见证下,这个技术高超的荷兰人顺利拿走1万美元和一台装着Windows7的新电脑。
 
Nils,这个令人生畏的26岁德国黑客,原本准备好了攻击程序要和米勒抢夺Safari那1万美元,可惜慢了一步。让米勒上演帽子戏法,连续三年大嚼苹果。不过在错失Safari之后,他果断出击,用之前没有公布过的漏洞一举擒住ASLR和DEP保护下的火狐。
 
Nils说,错误执行的清晰提示让通过Windows保护变的非常容易,而在有ASLR保护的Windows系统上,火狐可以选个更好的做法。
 
火狐将在3月底发布3.6.2的正式版,不管安全性如何,它那完全开源的态度和高度符合现有国际web标准的技术依然值得尊敬。
 
手机方面:
 
不知道1万5千美元是不是满足了黑客们的心理价位,智能手机分赛区iphone被扔出个零日,和之前两个黑客大牛的预言完全一致。
 
这次的0day被发现于手机版的Safari,操作系统是目前最新固件iPhone 3GS 3.1.3。
有两位黑客合作完成,0day可以让他们把目标iphone上的SMS数据库上传到自己控制的服务器,其中甚至包含部分已删除的短信。
文森佐・埃奥佐和拉尔夫・温曼
在接受记者采访时,冠军之一,年仅22岁的Halvar Flake表示,此次攻击并没有攻破Apple安全工程师设定的沙盒,现在还没有发现一个强到可以在跳出沙盒的情况下攻击成功的牛人。他的拍档Weinmann则轻松的表示,从发现漏洞到最后写出攻击程序,只用了两个礼拜(两人都来自西欧小国卢森堡)。

矩阵对抗与漏洞补丁201003(第6期) & Apache 2.2.14攻击演示和工具

矩阵对抗与漏洞补丁   QQ群号:17163000

【编辑推荐】
  1. Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
  2. 为避免 Pwn2Own大赛再次出丑 Apple提前给Safari大补
  3. 2010年Pwn2Own黑客大赛将开战 高额奖金与0day引入入胜
  4. Pwn2Own2010第一天:火狐、IE、Safari全挂 Chrome幸存

你可能感兴趣的:(移动开发,浏览器,智能手机,Pwn2Own,血雨腥风)