作者: TypeZero (TypeZero) 看板: AntiVirus
標題: [情報] Pwn2Own 2010駭客大會 連iPhone都爆了
時間: Fri Mar 26 21:20:48 2010
Pwn2Own 2010駭客大會:多數瀏覽器、iPhone無一倖免
由安全研究機構TippingPoint DVLabs贊助的第4屆Pwn2Own 2010駭客大賽,從3月24日到
26日為期三天,是駭客們大方公開拋頭露面的少數競賽!比賽項目為侵入網頁瀏覽器以及
智慧型手機,駭客們順利攻破除了得到名譽外,還有獎金可拿,總計高達10萬美元。
IE 8、Firefox 3、Safari 4、iPhone順利被攻破
Pwn2Own競賽的首日成績已出爐,包括IE、Firefox及Safari瀏覽器皆無一倖免成功被攻陷
,僅剩Chrome繼續獨撐大樑,這情形就如同去年Pwn20wn 2009駭客大賽一樣,Safari瀏覽
器在比賽開始一分鐘不到即被攻破,IE、Firefox瀏覽器也都相繼沉淪,Chrome則是到比
賽結束都未被攻破,希望今年Chrome瀏覽器同樣能堅持到最後。雖然今年IE 8瀏覽器也早
早就被攻破,但微軟MSRC也在攻破12時內就對漏洞做出了反應,並預計在不久後提供安全
性更新,這應該是一個好現象。
在智慧型手機裝置方面,在比賽開始前就有駭客放話要iPhone好看,果然iPhone毫無懸念
在比賽第一天即被攻破,沒讓大家失望,而Blackberry系統、Symbain S60、Android系統
則尚未被攻破。攻破iPhone的駭客為32歲盧森堡大學博士研究員Ralf-Philipp Weinmann
以及22歲資安公司員工Vincenzo Iozzo合作,利用特別設計的頁面以return-into-lib攻
擊,繞過系統上程式碼簽章和數據執行保護機制,造成堆疊層的緩衝區溢位讓iPhone上的
Safari瀏覽器崩潰,得以順利攻破iPhone最新3.1.3版本,取得簡訊資料庫、甚至是一些
已刪除的簡訊。他們贏得1.5萬美元獎金、以及一支iPhone手機。
這邊簡單介紹一下Pwn2Own比賽規則,比賽是由安全研究機構TippingPoint DVLabs贊助,
目標是4大主流網頁瀏覽器,包含IE、Firefox、Chrome、Safari瀏覽器(Opera:哭哭)
,平台是在安裝安全更新的Windows 7作業系統下運行,Safari瀏覽器將在安裝蘋果Mac
OS X 10.6雪豹作業系統下運作,順利攻破攻破一個主流瀏覽器便獎勵1萬美元,共4萬美
元。為了增加比賽難度,參加駭客競賽的參賽者不准使用Adobe Flash等第三方外掛。這
些第三方外掛一直都是作業系統中的安全弱項,破解專家Charlie Miller說只要瀏覽器裝
有Java或 Adobe Flash,被駭簡直是稀鬆平常。
智慧型手機裝置也選了4大主流系統,分別是iPhone 3GS、RIM Blackberry黑莓機的Blod
9700、Nokia E72的Symbain S60、HTC Nexus One的Android系統,每成功攻擊一款手機便
獎勵1.5萬美元,共6萬美元。
以下是DVLabs提供的比賽賽程、以及使用裝置,讓我們一起看看:
Day 1:
Microsoft Internet Explorer 8 on Windows 7
Mozilla Firefox 3 on Windows 7
Google Chrome 4 on Windows 7
Apple Safari 4 on MacOS X Snow Leopard
Day 2:
Microsoft Internet Explorer 7 on Windows Vista
Mozilla Firefox 3 on Windows Vista
Google Chrome 4 on Windows Vista
Apple Safari 4 on MacOS X Snow Leopard
Day 3:
Microsoft Internet Explorer 7 on Windows XP
Mozilla Firefox 3 on Windows XP
Google Chrome 4 on Windows XP
Apple Safari 4 on MacOS X Snow Leopard
電腦裝置:
Apple Macbook Pro 15〃
HP Envy Beats 15〃
Sony Vaio 13〃
Alienware M11x
智慧型手機裝置:
Apple iPhone 3GS
RIM Blackberry Bold 9700
Nokia E72 device running Symbian
HTC Nexus One running Android
只有Chrome沒被攻破…
留言列表
工作相關 (3)