Pwn2Own黑客大赛所曝漏洞全揭秘

安全 漏洞
3月12至13日,来自全球各地的安全领域顶尖人才参加了惠普的年度黑客大赛Pwn2Own。扣除慈善捐赠(包括向加拿大红十字会捐赠的82,500美元)、优胜者获得的笔记本电脑、“零日计划”(Zero-Day Initiative)点数和其它奖品外,本次大赛总共向优胜者支付奖金850,000美元。

3月12至13日,来自全球各地的安全领域***人才参加了惠普的年度黑客大赛Pwn2Own。扣除慈善捐赠(包括向加拿大红十字会捐赠的82,500美元)、优胜者获得的笔记本电脑、“零日计划”(Zero-Day Initiative)点数和其它奖品外,本次大赛总共向优胜者支付奖金850,000美元。

[[110469]]

  下列为本次大赛所展示的漏洞:

  1. Keen 队的陈良(中国)

  · 针对苹果公司的Safari,堆栈溢出和沙盒旁路(sandbox bypassing)造成代码执行问题。

  2. 509队的Zeguang Zhou和Keen 队的陈良(中国)

  · 针对Adobe Flash,堆栈溢出和沙盒旁路造成代码执行问题。

  3. VUPEN队

  · 针对Adobe Flash,IE沙盒旁路的释放后重用漏洞(use-after-free)造成代码执行问题;

  · 针对Adobe Reader,堆栈溢出和PDF沙盒逃逸(sandbox escape),造成代码执行问题;

  · 针对微软IE浏览器,释放后使用引起代理中的对象混淆,造成沙盒旁路;

  · 针对火狐浏览器,释放后使用漏洞造成代码执行问题;

  · 针对谷歌Chrome浏览器,影响Blink和WebKit的释放后使用和沙盒旁路,造成代码执行问题。

  4. Jüri Aedla

  · 针对火狐浏览器,超越边界限制(out-of-bound)读/写造成代码执行问题。

  5. Mariusz Mlynski

  · 针对火狐浏览器,两个漏洞,一个允许浏览器内的权限升级,一个会绕过浏览器安全措施。

  6. Sebastian Apelt和Andreas Schmidt

  · 针对微软IE浏览器,两个释放后使用缺陷和一个内核缺陷,造成系统计算器问题。

  7. George Hotz

  · 针对火狐浏览器,线外读/写造成代码执行问题。

  8. 匿名参赛者

  · 针对谷歌Chrome,一个沙盒旁路随意读/写缺陷造成代码执行问题。在评审过程中,大赛裁判将其评为部分胜利,因为该演示的一部分与早先在Pwnium上所展示的漏洞有冲突。

  惠普Pwn2Own大赛旨在应对全球日益严峻的安全威胁,号召全球各地的***研究人员在时下网络浏览器和插件中寻找安全漏洞。大赛鼓励研究人员发掘未知的安全漏洞并向厂商披露,从而让厂商修复安全漏洞并为消费者提高安全性。

  所有于本次大赛中所发现的漏洞均已向相应厂商披露,他们目前已开始着手解决这些新发现的问题。

责任编辑:吴玮 来源: 51CTO.com
相关推荐

2015-03-17 11:15:06

2015-03-18 16:17:27

2013-03-08 09:17:58

2014-03-19 14:31:09

2015-03-12 15:38:06

2011-03-11 09:41:53

2015-03-22 09:22:51

2009-03-20 17:11:35

2015-03-19 10:35:55

2010-03-19 12:42:27

2013-03-18 09:57:12

2010-03-25 15:57:37

2010-03-29 10:04:11

2011-03-07 10:40:15

2010-03-27 10:44:13

2011-03-06 14:56:55

2016-03-21 15:13:07

2015-03-22 09:14:59

2013-01-22 10:07:07

2013-11-13 16:57:16

点赞
收藏

51CTO技术栈公众号