在温哥华一年一度的CanSecWest会议的Pwn2Own黑客竞赛中,基本所有主流浏览器的最新版本都相继被黑客攻破,黑客赢取了数十万美元的奖金。
在去年的赛事中,法国安全公司Vupen利用Chrome的2个安全漏洞,在比赛刚开始五分钟内就成功击败了Chrome的双重安全保护机制,该团队至少赢得了6万美元的奖金。 Vupen本次也没让观众失望,成功攻破了最新操作系统Windows8上的IE10、Windows 7平台上的Firefox 19、Java。“我们利用Surface Pro上的两个IE10 0day漏洞绕过了沙盒防护,攻破了Windows 8。”
MWR Labs的研究人员Jon Butler和Nils在Windows7上成功绕过了chrome的沙盒机制,可以执行任意命令。
至于Java就更悲剧了,在Pwn2Own上,被三名不同的黑客轮番菊爆了三次,黑客描述道,“Java是最简单的,因为没有Sandbox”。
在类别Web浏览器中,下面是一些相应挖掘出漏洞的价目表:
Win7 Chrome 10W$
Win8 IE 10W$
Win7 FireFox 6W$
0S X Safari 6W5K$
Win7 IE9 7W$
Adobe Reader XI 7W$
Adobe Flash 7W$
沒有留言:
張貼留言