在周三的研究人员破解微软的IE浏览器11(IE11),Mozilla的Firefox和Adobe的Flash和 […]
在周三的研究人员破解微软的IE浏览器11(IE11),Mozilla的Firefox和Adobe的Flash和Reader在的Pwn2Own黑客大赛上,赢得40万美元的奖金,迎接挑战了为期一天的记录。
的Pwn2Own一直延续到今天,当其他球队和个人的研究人员将轮番上阵试图打破苹果的Safari和谷歌的Chrome浏览器。
从VUPEN,法国漏洞研究机构和零日漏洞卖家政府和执法机构中,A队结束周三300000美元丰富,有黑客攻击的Adobe Flash,Adobe Reader的,Firefox和IE11进行了为期一天的四人,再创历史新高。
火狐共被三次受害者在短短六个小时,一旦被VUPEN,然后其他两次被研究者的Mariusz Mlynski和JRI Aedla,每个获奖者拿到$ 50,000的漏洞。
虽然的Pwn2Own原本要提供现金奖励只对第一谁砍死每个目标,大赛组织者,惠普的Zero Day Initiative(ZDI),改变对飞的基本规则,说早周三表示,将支付的所有漏洞所使用的参赛者。
随着中移动,ZDI,一个错误赏金计划,是惠普的TippingPoint部门的一部分,说这和联席保荐人谷歌 – 在奖金的25%,后者投 – 将为此付出超过100万美元,如果全部15个参赛,再创历史新高,取得了成功。
周三的努力令人印象深刻,在自己的权利,每个预定的目标下降到研究人员在五分钟内。参赛者来用的Pwn2Own零日漏洞和弱点在他们的口袋,并没有发现的bug和现场工艺攻击代码。
“所有的攻击以自己的方式是独一无二的,”布赖恩说Gorenc,为ZDI漏洞研究的经理,在的Pwn2Own的第一天结束后的采访。Gorenc拒绝挑出最令人印象深刻的还是优雅的漏洞。“这是有趣的看到,研究人员正在绕过沙箱和他们链接的多个漏洞的方式不同的方式。”
“沙箱”是部署一些软件的防攻击技术 – IE浏览器,Flash和Reader的所有依赖沙箱 – 这是设计来隔离应用程序,这样如果攻击者确实发现代码中的一个漏洞,他们必须规避,或“越狱”沙箱,执行机器上的??恶意代码。沙箱逸出通常需要两个或多个漏洞的攻击链。
当天的总$ 400,000近匹配去年的Pwn2Own两天480,000元奖金。
VUPEN拉开序幕一天盗号的Adobe Reader,赢得75,000美元的壮举。
“我们已经PWND Adobe Reader的十一与堆溢出+ PDF沙箱逃生(不依赖于内核漏洞)漏洞利用报告给Adobe!” VUPEN表示,在其Twitter帐户。
接下来是IE11上运行的Windows 8.1,微软的大多数-当前操作系统的笔记本电脑。“我们已经PWND IE11在Win 8.1使用使用后释放相结合,在代理对象混乱绕过IE浏览器沙箱”,VUPEN 宣布在Twitter上抢夺10万元,破解后。