【51CTO.com 综合报道】首先向持续关注Pwn2Own的51CTO网友们问好,接下来将向大家报告一条疑似2009年新闻的新闻。历史惊人的相似,继2009年火狐、IE、Safari全挂,Chrome夺冠之后,2010年再次上演的同样的情形,虽然比赛还没有结束,但笔者可以大胆的提前宣布,Chrome这次又要夺冠了。
在比赛即将开始前几天,苹果和谷歌突然大量发放补丁,给本来胸有成足的黑客们来了个措手不及。不过依仗对苹果Safari浏览器的熟悉,黑客天王米勒还是顺利攻破Mac,拿走了1万美元和一个Mac笔记本。
左侧的就是米勒
而攻破IE8的这位荷兰黑客,真可谓是一流高手。他面对的原本就是业内认为安全性较高的Windows7加IE8组合(需要击败ASLR 地址空间随机设定和DEP 数据执行保护两大保镖),偏偏攻的还是64位Windows7,使比赛的精彩程度再次提高一个档次。
“加载进IE的一个模块给了我基础地址,我用它过了ALSR。然后我又用它过了DEP”,在接受采访时,攻破IE8的Peter Vreugdenhil表示。在现场微软技术团队的见证下,这个技术高超的荷兰人顺利拿走1万美元和一台装着Windows7的新电脑。
Nils,这个令人生畏的26岁德国黑客,原本准备好了攻击程序要和米勒抢夺Safari那1万美元,可惜慢了一步。让米勒上演帽子戏法,连续三年大嚼苹果。不过在错失Safari之后,他果断出击,用之前没有公布过的漏洞一举擒住ASLR和DEP保护下的火狐。
Nils说,错误执行的清晰提示让通过Windows保护变的非常容易,而在有ASLR保护的Windows系统上,火狐可以选个更好的做法。
火狐将在3月底发布3.6.2的正式版,不管安全性如何,它那完全开源的态度和高度符合现有国际web标准的技术依然值得尊敬。
【编辑推荐】
- Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
- 为避免 Pwn2Own大赛再次出丑 Apple提前给Safari大补
- 黑客日薪一万二 IT企业受苦难
- 企业应如何防范内存抓取恶意软件
- 微软IE被曝“逻辑缺陷”漏洞
- 2010年Pwn2Own黑客大赛将开战 高额奖金与0day引入入胜
- Google的云计算,你真的安全吗?
- 自己动手打造公司内网监管利器
- 利用HTTP-only Cookie缓解跨站点脚本攻击
- 趋势科技:云安全3.0为云计算提供安全防护
- 新攻击技术让DEP形同虚设
- 难兄难弟惺惺相惜 微软要帮Adobe发补丁?
- 负责公司补丁的安全经理必看:微软的节奏
- 如何使用Nikto漏洞扫描工具检测网站安全
- 雅虎HotJobs网站发现跨站脚本攻击安全漏洞
