3月10日报道,本周四,Pwn2own2011黑客大赛如期举行,爱尔兰安全专家斯蒂芬·福尔凭借巧妙的攻击技术利用三个漏洞成功攻破了Windows 7 SP1(64位)平台上的IE 8浏览器。
作为长期关注Windows安全的专家,他利用两个不同的Zero-Day(零日漏洞)取得恶意代码的执行权,然后通过第三个漏洞跳过IE 8保护模式中的Sandbox沙盒功能,结果他成功的绕过Windows系统的两大保护机制——DEP数据执行保护和ASLP地址空间随机分布,顺利实施了攻击。
福尔成功后将获得15000美元的奖励,他向记者透露称,大约花费了5-6周时间研究Windows和IE 8的漏洞,然后根据漏洞类型开始编写攻击代码;毕竟,Windows 7系统和IE 8超高的安全防护给他制造了巨大麻烦。
另最新消息显示,苹果旗下的Safari浏览器和MacBook沦为本次大赛最先被攻破的产品。早在黑客大赛之前,各大公司包括微软、Mozilla、苹果、谷歌都纷纷为自己的产品提供升级补丁,希望能在黑客大赛上侥幸逃脱,但很显然这是于事无补的。
Pwn2Own是世界上最著名的黑客大赛之一,由安全研究机构TippingPoint DVLabs赞助,今年是该赛事的第五届。
参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作。黑客大赛并非给巨头企业抹黑,纵观历年战况,谷歌Chrome征战Pwn2Own的战绩还是可圈可点的。
