今年Pwn2Own 2013黑客大赛正在连连上演好戏,在首日,黑客们即已经攻破IE10、Firefox以及Chrome浏览器。黑客们这么卖力当然是有原因的,Pwn2Own从来都以高额奖金闻名业界,重赏之下吸引了很多高手。
Pwn2Own是最著名的黑客大赛之一
Chrome一直被认为是最安全的浏览器,但今年Chrome也未能幸免。据介绍,MWR实验室的专家们完全绕过了最新稳定版Chrome的沙盒防护,成功拿下Chrome 25。MWR攻破Chrome后第一时间将漏洞报告给了Google,Google行动迅速,目前已经将Chrome升级到了Chrome 25.0.1364.160,修复了该漏洞。据悉,黑客主要利用了WebKit核心中的类型混淆(Type confusion),详情并未公布,Google将会在大部分用户都更新到没有漏洞的最新版本后才公开细节。
法国安全公司VUPEN则宣布,已经利用漏洞成功黑掉了Windows 8平台的IE10、Windows 7平台上的Firefox 19以及Java。VUPEN称,他们利用了Surface Pro的两个IE10 0day漏洞绕过了沙盒,成功入侵Windows 8。VUPEN已经将漏洞报告给了微软,以便微软修补相关漏洞。此外,Accuvant实验室的Josh Drake和来自Contextis的James Forshaw也都攻克了Java,看来Java的确安全问题突出,近期Java的安全性倍受批评。
黑客攻破各种软件可获得的奖金具体如下:
网页浏览器:
Google Chrome on Windows 7 ($100,000)
IE10 on Windows 8 ($100,000)
IE9 on Windows 7 ($75,000)
Mozilla Firefox on Windows 7 ($60,000)
Apple Safari on OS X Mountain Lion ($65,000)
运行于Windows7平台IE9浏览器上的插件:
Adobe Reader XI ($70,000)
Adobe Flash ($70,000)
Oracle Java ($20,000)