Pwn2Own2010第一天:火狐、IE、Safari全掛 Chrome幸存
原創【51CTO.com 綜合報道】首先向持續關注Pwn2Own的51CTO網友們問好,接下來將向大家報告一條疑似2009年新聞的新聞。歷史驚人的相似,繼2009年火狐、IE、Safari全掛,Chrome奪冠之后,2010年再次上演的同樣的情形,雖然比賽還沒有結束,但筆者可以大膽的提前宣布,Chrome這次又要奪冠了。
在比賽即將開始前幾天,蘋果和谷歌突然大量發放補丁,給本來胸有成足的黑客們來了個措手不及。不過依仗對蘋果Safari瀏覽器的熟悉,黑客天王米勒還是順利攻破Mac,拿走了1萬美元和一個Mac筆記本。
左側的就是米勒
而攻破IE8的這位荷蘭黑客,真可謂是一流高手。他面對的原本就是業內認為安全性較高的Windows7加IE8組合(需要擊敗ASLR 地址空間隨機設定和DEP 數據執行保護兩大保鏢),偏偏攻的還是64位Windows7,使比賽的精彩程度再次提高一個檔次。
“加載進IE的一個模塊給了我基礎地址,我用它過了ALSR。然后我又用它過了DEP”,在接受采訪時,攻破IE8的Peter Vreugdenhil表示。在現場微軟技術團隊的見證下,這個技術高超的荷蘭人順利拿走1萬美元和一臺裝著Windows7的新電腦。
Nils,這個令人生畏的26歲德國黑客,原本準備好了攻擊程序要和米勒搶奪Safari那1萬美元,可惜慢了一步。讓米勒上演帽子戲法,連續三年大嚼蘋果。不過在錯失Safari之后,他果斷出擊,用之前沒有公布過的漏洞一舉擒住ASLR和DEP保護下的火狐。
Nils說,錯誤執行的清晰提示讓通過Windows保護變的非常容易,而在有ASLR保護的Windows系統上,火狐可以選個更好的做法。
火狐將在3月底發布3.6.2的正式版,不管安全性如何,它那完全開源的態度和高度符合現有國際web標準的技術依然值得尊敬。
【編輯推薦】
- Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
- 為避免 Pwn2Own大賽再次出丑 Apple提前給Safari大補
- 黑客日薪一萬二 IT企業受苦難
- 企業應如何防范內存抓取惡意軟件
- 微軟IE被曝“邏輯缺陷”漏洞
- 2010年Pwn2Own黑客大賽將開戰 高額獎金與0day引入入勝
- Google的云計算,你真的安全嗎?
- 自己動手打造公司內網監管利器
- 利用HTTP-only Cookie緩解跨站點腳本攻擊
- 趨勢科技:云安全3.0為云計算提供安全防護
- 新攻擊技術讓DEP形同虛設
- 難兄難弟惺惺相惜 微軟要幫Adobe發補丁?
- 負責公司補丁的安全經理必看:微軟的節奏
- 如何使用Nikto漏洞掃描工具檢測網站安全
- 雅虎HotJobs網站發現跨站腳本攻擊安全漏洞
