Pwn2Own黑客挑戰(zhàn)賽 IE 9難逃一劫

在3月8日星期四，谷歌修復(fù)了Chrome瀏覽器的兩個安全漏洞。一位為谷歌漏洞獎勵計劃做出長期貢獻的人在谷歌首次舉行的“Pwnium”黑客競賽中獲得了6萬美元獎金。

位于巴黎的Vupen安全公司的一個小組利用兩個已知的零日攻擊安全漏洞攻破了在Windows 7平臺上運行的IE 9瀏覽器。這兩個安全漏洞可繞過操作系統(tǒng)的防御技術(shù)執(zhí)行攻擊代碼，讓攻擊代碼避開IE瀏覽器的“保護模式”。這個模式是IE瀏覽器的限制權(quán)限的反利用漏洞系統(tǒng)。

星期三(3月7日)，Vupen的研究人員還利用一個零日攻擊安全漏洞攻破了在Windows 7平臺上運行的谷歌Chrome瀏覽器。谷歌懷疑這個漏洞不是在Chrome瀏覽器的本地代碼中。Vupen的研究人員執(zhí)行了一個代碼和另一個代碼，突破了Chrome瀏覽器的“沙箱”。

Chrome瀏覽器利用沙箱隔離技術(shù)防止瀏覽器泄露惡意軟件感染計算機的操作系統(tǒng)。

Pwn2Own競賽的贊助商惠普TippingPoint的零日攻擊計劃在周四(3月8日)晚些時候證實了Vupen的工作。

Vupen在Pwn2Own比賽上一直沒有對手。截至星期五(3月9日)早上，Vupen在計分系統(tǒng)中已經(jīng)獲得了124分。這個分數(shù)將使它在周五晚些時候獲得現(xiàn)金獎勵。

TippingPoint安全研究團隊的負責(zé)人和Pwn2Own競賽的組織者Aaron Portno表示，Vupen的領(lǐng)先地位目前看來是不可能戰(zhàn)勝的。得分最多的研究人員或者團隊將得到由ZDI提供的6萬美元獎金，第二名將獲得3萬美元獎金，第三名將得到1.5萬美元獎金。

谷歌修復(fù)了Sergey Glazunov在星期三披露的兩個零日攻擊安全漏洞。Glazunov是到目前為止唯一的一位聲稱將獲得谷歌為自己的Pwnium競賽設(shè)定的100萬美元獎金中的一部分獎金的研究人員。

Glazunov在溫哥華舉行的CanSecWest會議上向谷歌安全團隊演示了Chrome瀏覽器的安全漏洞。在他演示之后不到24小時，谷歌在周四早些時候發(fā)布了新版本的Chrome 17瀏覽器。CanSecWest安全會議舉行了Pwn2Own競賽和Pwnium競賽。

Glazunov由于自己的工作成績獲得了6萬美元獎金。

Pwn2Own是在CanSecWest會議上第六年舉行這種競賽。Pwnium是今年首次舉行。

Glazunov展示了谷歌分類為“全面的Chrome漏洞”的安全漏洞。雖然谷歌沒有發(fā)布關(guān)于這些安全漏洞的額外信息，但是，谷歌像以前修改Chrome瀏覽器時所采取的措施一樣，阻止公開訪問它剛剛修復(fù)的這個安全漏洞的漏洞跟蹤數(shù)據(jù)庫。這表明Glazunov利用的兩個安全漏洞都是谷歌制作的代碼。

谷歌發(fā)言人在周四回答提問的電子郵件中稱，谷歌還沒有修復(fù)Vupen利用的安全漏洞，因為它還沒有收到來自ZDI的信息。

谷歌安全工程師在CanSecWest會議上也指出了這個問題。谷歌的Justin Schuh周四在微博中稱：“我確實希望ZDI提出這個安全漏洞，這樣，我們就可以制作一個補丁。”

Pwn2Own競賽還沒有把安全漏洞信息提交給谷歌或者微軟。但是，Portnoy稱，他們將在比賽周五結(jié)束之后把這些信息提交給谷歌和微軟。

谷歌和ZDI對于CanSecWest會議的黑客競賽一直存在分歧，因此谷歌退出了Pwn2Own競賽并且推出了自己的競賽。這個分歧集中在競賽完成之后ZDI要向廠商報告什么信息。

ZDI稱，它將向廠商報告執(zhí)行代碼安全漏洞，但是，不報告避開沙箱的安全漏洞。ZDI認為，后一種情況很少，因此沒有價值。這個做法不可能吸引研究人員設(shè)法攻擊Chrome瀏覽器。

上個星期，ZDI進一步指出，任何研究人員都不會放棄Chrome沙箱避開安全漏洞和利用這種漏洞，盡管谷歌提供6萬美元的頭等獎獎金。

當(dāng)人們要求對ZDI的預(yù)測發(fā)表評論時，Portnoy指出Glazunov是不斷地為谷歌漏洞報告計劃做貢獻的人并且爭辯說，提交這個安全漏洞表明了廠商與獨立研究人員建立牢固的關(guān)系的價值。

Portnoy稱，建立這種關(guān)系是有價值的。盡管研究人員對于他們因發(fā)現(xiàn)安全漏洞而獲得的獎金不完全滿意，但是，他們?nèi)韵騔DI提交安全漏洞信息，因為他們了解我們，他們知道能夠向我們求助。

Portnoy稱，谷歌從它與Glazunov的關(guān)系中得到了同樣的好處。

Glazunov是一個Chrome瀏覽器安全漏洞報告機器。在2011年，他因為發(fā)現(xiàn)了許多安全漏洞獲得了谷歌的將近5.9萬美元獎金。

根據(jù)自己的做法，ZDI沒有披露Vupen用于攻破Chrome和IE9瀏覽器的安全漏洞，并且在廠商發(fā)布安全補丁之前不會公布這些安全漏洞。然而，谷歌的Schuh認為，這個法國小組利用的安全漏洞不在Chrome瀏覽器自己的代碼中，而是在Adobe的Flash播放器軟件中。這個軟件是與每一次Chrome更新一起發(fā)布的。

ZDI和谷歌都暗示，在Pwn2Own和Pwnium競賽在3月9日結(jié)束之前還會有更多的瀏覽器破解演示。

用于Windows、Mac OS X和Linux平臺的Chrome 17瀏覽器可以從谷歌網(wǎng)站下載。目前使用Chrome瀏覽器的用戶在下一次啟動這個瀏覽器的時候會收到一個自動的后臺更新。 

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]