【51CTO.com 独家报道】首先向持续关注Pwn2Own的51CTO网友们问好,接下来将向大家报告一条疑似2009年新闻的新闻。历史惊人的相似,继2009年火狐、IE、Safari全挂,Chrome夺冠之后,2010年再次上演的同样的情形,虽然比赛还没有结束,但笔者可以大胆的提前宣布,Chrome这次又要夺冠了。
浏览器方面:
在比赛即将开始前几天,苹果和谷歌突然大量发放补丁,给本来胸有成足的黑客们来了个措手不及。不过依仗对苹果Safari浏览器的熟悉,黑客天王米勒还是顺利攻破Mac,拿走了1万美元和一个Mac笔记本。
左侧的就是米勒
而攻破IE8的这位荷兰黑客,真可谓是一流高手。他面对的原本就是业内认为安全性较高的Windows7加IE8组合(需要击败ASLR 地址空间随机设定和DEP 数据执行保护两大保镖),偏偏攻的还是64位Windows7,使比赛的精彩程度再次提高一个档次。
“加载进IE的一个模块给了我基础地址,我用它过了ALSR。然后我又用它过了DEP”,在接受采访时,攻破IE8的Peter Vreugdenhil表示。在现场微软技术团队的见证下,这个技术高超的荷兰人顺利拿走1万美元和一台装着Windows7的新电脑。
Nils,这个令人生畏的26岁德国黑客,原本准备好了攻击程序要和米勒抢夺Safari那1万美元,可惜慢了一步。让米勒上演帽子戏法,连续三年大嚼苹果。不过在错失Safari之后,他果断出击,用之前没有公布过的漏洞一举擒住ASLR和DEP保护下的火狐。
Nils说,错误执行的清晰提示让通过Windows保护变的非常容易,而在有ASLR保护的Windows系统上,火狐可以选个更好的做法。
火狐将在3月底发布3.6.2的正式版,不管安全性如何,它那完全开源的态度和高度符合现有国际web标准的技术依然值得尊敬。
手机方面:
不知道1万5千美元是不是满足了黑客们的心理价位,智能手机分赛区iphone被扔出个零日,和之前两个黑客大牛的预言完全一致。
这次的0day被发现于手机版的Safari,操作系统是目前最新固件iPhone 3GS 3.1.3。有两位黑客合作完成,0day可以让他们把目标iphone上的SMS数据库上传到自己控制的服务器,其中甚至包含部分已删除的短信。
Halvar Flake和Weinmann
在接受记者采访时,冠军之一,年仅22岁的Halvar Flake表示,此次攻击并没有攻破Apple安全工程师设定的沙盒,现在还没有发现一个强到可以在跳出沙盒的情况下攻击成功的牛人。他的拍档Weinmann则轻松的表示,从发现漏洞到最后写出攻击程序,只用了两个礼拜(两人都来自西欧小国卢森堡)。
