- 1、本文档共2页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Pwn2Own 黑客大赛启示:四大浏览器谁更安全
Pwn2Own 是一场黑客竞赛,每年在温哥华网络系统安全大会上举行。黑客们可以通过系
统本身的漏洞破坏系统的安全防护从而完全控制系统。Pwn2Own 是世界上最著名的黑客大
赛之一,由安全研究机构TippingPointDVLabs 赞助,亦今为止已连续举办了七届。
参赛黑客们的目标是4 大主流网页浏览器——IE、Firefox、Chrome 和Safari ,平台是在
安装了安全更新的Windows 7 操作系统下运行,Safari 浏览器将在安装苹果Mac OS X 10.6 雪
豹操作系统下运作。
在2013 年的比赛中增加了IE 10 on Windows 8 和 IE Web 浏览器插件Adobe Reader 、
Flash Player 和Java 。
2013 大赛规定:攻入最新版谷歌 Chrome 或 IE10 的将获得10 万美元;攻入苹果 Safari
的将获得6.5 万美元;攻入Mozillas Firefox 的将获得6 万美元;找出IE Web 浏览器插件Adobe
Reader 或Flash 中可攻击漏洞的将获得7 万美元;攻入OracleJava 浏览器插件的将被奖励2 万
美元。除去奖金以外,参赛者还可以拿走已攻陷的笔记本电脑。
本次大赛成绩
在2013 年,大赛规定的全部项目除Safari 以外均被攻破,大赛安排的奖金被全部瓜分。
以下是比赛和奖金的分配结果:
法国安全组织 VUPEN ,攻陷了IE 10、Firefox、Flash、Java ,共获取25 万美元奖金;
MWR Labs 研究人员Nils 和Jon ,攻陷了Chrome,获取10 万美金;
个人参赛者James Forshaw 、Joshua Drake 、Ben Murphy 分别攻陷在IE 浏览器中的JAVA
插件,分别获取2 万美元奖金;
个人参赛者George Hotz 攻陷IE 浏览器中的Adobe Reader 插件,获得7 万美元奖金。
虽然Safari 没有被攻破,但是属于它的6.5 万奖金被重复攻陷java 的黑客们瓜分。
一提到Safari ,不能不让我们想念在08 、09 、10 三届黑客大赛中连续攻破Safari 的黑客
大牛——苹果黑客专家查理-米勒。在米勒之前,还从未有任何参赛者在Pwn2Own 大赛上连
续三次获奖。因为和苹果闹翻,他已不再出现在大赛现场了,这也是本届大赛最大的遗憾!
不同厂商对漏洞的响应速度
根据比赛规则,获胜者需要对HP TippingPoint 给出漏洞细节,该公司将把漏洞给到相关
的软件供应商。然后软件供应商就这些漏洞发布对应的补丁。以下是不同的厂商就大赛中发
现的漏洞的响应速度:
在3 月7 日,Mozilla 就发布了MFSA 2013-29 的安全公告,推出了19.0.2 来修补其代号
为CVE-2013-0787 的释放后重用漏洞;
同样在3 月7 日,Google chrome 发布了25.0.1364.160 来修补在WebKit 核心中存在类
型混淆(Type confusion)错误,这个漏洞的CVE 编号是CVE-2013-0912;
可以看出这两个公司在漏洞公布出来不到24 小时就发布了相关漏洞补丁,应急响应能
力可以说是神速!
在3 月12 日,Adobe 公司的APSB13-09 通报中发布了11.6.602.180 的最新版本,解决
了Windows 和 Macintosh 操作系统下11.6.602.171 以前版本中存在的4 个漏洞,不过没有
明确这些漏洞是否跟Pwn2Own 大赛发现的漏洞有关。
在3 月12 日,微软在例行的3 月安全通报中,发布了MS13-021 的安全补丁,解决了8
个秘密提交的和一个公开的释放后重用漏洞,不过也没有明确这些漏洞是否跟 Pwn2Own 大
赛发现的漏洞有关。
Oracle 公司在3 月的安全公告中提到了在外流传很广的CVE-2013-1493 和另外一个漏洞,
而且也提到了TippingPoint ,不过也没有明确这些漏洞是否跟Pwn2Own 大赛发现的漏洞有关。
启示和建议
个人认为从这个黑客大赛传来有两个启示:一是所有的浏览器都还是存在漏洞的,只是
不知道黑客们手里还
文档评论(0)