2014黑客奧斯卡獎Pwnie Awards提名名單公布
正在沙漠賭城拉斯維加斯舉行的黑帽大會,黑客奧斯卡獎Pwnie的提名名單已經公布,評委們正在一個秘密的地方投票。將于當地時間8月6日下午6:30公布最終獲獎名單(北京時間8月7日早上9:30)。
最佳服務器端漏洞
1,Abusing JSONP with Rosetta Flash (CVE-2014-4671)
Adobe Flash Player處理SWF文件引入的CSRF漏洞。
2,Heartbleed (CVE-2014-0160)
OpenSSL心臟滴血漏洞。Codenomicon為此漏洞設計了LOGO和網站,感謝該公司的推波助瀾讓大家在4月份瘋狂加班。
3,IPMI: Sold Down the River
服務器帶外管理接口的漏洞,全球有25萬服務器把此接口暴露在互聯網上任人蹂虐,NSA再也不用花巨資研發和植入后門了。
4,Embedded Device Hacking
關于嵌入式設備黑客的一個博客:/dev/ttyS0,有些公司恨死他了。
最佳客戶端漏洞
1,Google Chrome Arbitrary Memory Read Write Vulnerability (CVE-2014-1705)
谷歌瀏覽器Chrome的任意內存讀寫漏洞。
2,Heartbleed (CVE-2014-0160)
還是OpenSSL心臟滴血漏洞,客戶端,比如Andriod手機,也受影響的。
3,Pwn4Fun Safari vulnerability (CVE-2014-1300)
蘋果瀏覽器Safari的溢出漏洞。
4,Goto Fail (CVE-2014-1266)
蘋果操作系統沒有好好檢查TLS證書,因為goto語句用亂了。大學時學C語言,老師就經常教育少用goto!
最佳提權漏洞
1,AFD.sys Dangling Pointer Vulnerability (CVE-2014-1767)
Windows上的內核級漏洞繞過Windows 8.1上的IE11沙箱。
2,VirtualBox VM Breakout using 3D Acceleration (CVE-2014-0981)
虛擬機上的3D加速功能存在漏洞可以逃逸到宿主機。
3,Linux Futex Bug (CVE-2014-3153)
Linux內核漏洞,三星Galaxy S5和很多Linux發行版受影響。
4,evasi0n iOS 7.0 jailbreak
iOS7.0越獄,授予: evad3rs,連續使用了4個利用代碼。
5,Pangu iOS 7.1 Jailbreak
iOS7.1越獄,授予:中國的盤古,樹人Stefan Esser,還有或許其它人。漏洞很難溯源,樹人宣稱部分漏洞來自他的iOS培訓課程,但是誰知道誰也有同樣的漏洞呢?
最具創新性研究
1,Hardware-assisted Memory Corruptions
授予德國的硬件黑客Ralf-Philipp Weinmann,他主要搞ARM芯片漏洞研究。
2,Bypassing Windows 8.1 Mitigations using Unsafe COM Objects
是一個繞過微軟安全機制的研究,授予James Forshaw,第一個獲得了微軟10萬美元獎金。
3,RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis
在電腦旁放一個手機,或者4米外放一個高靈敏麥克風,通過聽CPU計算時產生的聲音,破解4096位RSA密鑰。
4,Windows 8 UEFI Secure Boot Bypasses
Intel和MITRE共同研究出Win8安全啟動繞過。
5,Hacking Blind
Blind ROP遠程溢出技術。
響應最爛的廠商
1,OpenCart PHP Object Injection Vulnerability
漏洞發現者和廠商代表在GitHub上吵架,沒事不要去圍觀。
2,Fired, I? 就是FireEye
故事比較復雜,有人發現了FireEye某產品漏洞,被所在公司開除的事情。
3,AVG Remote Administration Insecure "By Design"
廠商宣稱這個漏洞在設計時就是這樣的,CTO說:"This is by design",比修復它省事多了。
4,General Motors
通用汽車點火開關存在故障召回事件,這個缺陷不是通用汽車或政府相關部門公布的,而是律師在一次致死交通事故起訴通用公司案件中發現。通用CEO在聽證會時,議員問她,你在通用33年從來沒聽說過點火開關存在故障嗎?在沒有實質性的回答后,議員告訴CEO:“You don't know anything about anything”。汽車安全將會越來越重要,因為汽車運行的軟件可被遠程攻破了,歡迎來到爆炸的物聯網時代。
最經典輸家
1,Goto Fail
蘋果工程師的C語言可能是語文老師教的。
2,Heartbleed
開源社區的失敗。
3,Target Breach
美國零售商店Target入侵案。FireEye檢測到了,通知了Target的安全運維中心SOC,然后呢?
4,(ISC)2 Optional Membership Fee
(ISC)2網站漏洞會員續費漏洞。有誰認識一些信息安全專家,給這個非營利組織一些無償的幫助?(高級黑!)
最經典破壞
1,Heartbleed (CVE-2014-0160)
審美疲勞了。
2,Target Breach
史上最大的信用卡數據泄露案。
3,Inputs.io
一百二十萬美元的入侵案件證明了你不要在網上保存比特幣。
4,Mt. Gox
世界上最大的比特幣交易平臺宣稱被黑客入侵,數億美元丟失,是不是監守自盜呢?
英文原文鏈接:
