最热win10资讯排行
- 1Microsoft Office用户现在可以选择他们发送给Microsoft的数据
- 2比360安全卫士好的软件你用了几款
- 3HP EliteBook 840 G7评测:最佳主流商务笔记本电脑
- 42019年4月XBOX更新win10 1904版本:所有新功能和更改
- 5联想ThinkPad T490评测:最受欢迎的ThinkPad获得了杜比视界屏幕
- 6AMD Radeon 19.4.3驱动程序以Mortal Kombat 11支持到达
- 7微软将通知用户当Windows 10版本达到支持结束
- 8win10 1909怎么样?win10 1909 新功能值得期待
- 9Windows 101809更新删除的功能你需要知道
- 10Microsoft发布Windows 10累积更新KB4480116,KB4480966,KB4480978
最新windows系统下载
Safari、Edge和Model 3等被攻陷无一幸免
时间:2019-03-25 来源:系统堂 游览量: 次
外媒Pwn2Own 2019已进入到第三天,再次向世界证明了世界上没有一个完全安全的系统。黑客通过访问特制的页面,已经成功入侵了macOS上的Safari、Windows 10上的Edge和Firefox浏览器,甚至还从两个虚拟机上逃脱在本地硬件上运行代码。
外媒MSPowerUser就盘点了过去三天内黑客所取得的骄人成绩:
外媒MSPowerUser就盘点了过去三天内黑客所取得的骄人成绩:
10:00 - 在网页浏览器类目中Fluoroacetate(Amat Cama和Richard Zhu)团队发现了Safari零日漏洞和沙盒逃脱方式。
成功:Fluoroacetate团队使用在JIT中发现的漏洞来逃离沙盒。最终他们为自己赚取了55000美元和5个Master of Pwn 积分。
11:30-Fluoroacetate(Amat Cama和Richard Zhu)团队在虚拟化类目中,找到了针对Oracle VirtualBox的漏洞。
成功:Fluoroacetate团队通过整数下溢出underflow和竞争条件,成功逃离虚拟机并成功弹出底层操作系统的计算器。这个漏洞为他们赚取了35000美元,并赢得了3个Master of Pwn积分。
13:00- STAR Labs的anhdaden在虚拟化类目发现了Oracle VirtualBox的漏洞。
成功--anhdaden使用Oracle VirtualBox中的整数下溢成功从虚拟客户端进入到底层操作系统。这是他首次参与Pwn2Own大赛,赢得了35000美元,并获得了3个Master of Pwn积分。
14:30--Fluoroacetate (Amat Cama and Richard Zhu) 在虚拟化分类中发现了VMware Workstation的漏洞
成功--Fluoroacetate团队通过竞争条件在VMware Workstation客户端上越界向主机系统写入可执行代码。这个漏洞帮助这支团队再获得了70000美元,并额外获得了7个Master of Pwn积分。
16:00--Phoenhex & qwerty (@_niklasb @qwertyoruiopz @bkth_) 在浏览器类目中在苹果Safari中进行内核升级。
部分成功--Phoenhex & qwerty团队使用heap OOB读取所引发的JIT错误,通过TOCTOU漏洞成功从内核中获得了root权限。由于苹果已经知道了其中的一个漏洞,因此可以说是部分成功。不过团队依然获得了45000美元和4个Master of Pwn积分。
第二天
10:00 --属网页浏览器类目,Fluoroacetate (Amat Cama and Richard Zhu) 团队向Mozilla的Firefox浏览器发起攻击。
成功-Fluoroacetate 团队使用JIT中的错误和Windows内核中的越界写入成功发起攻击。最终获得50000美元,并获得5个Master of Pwn积分。
11:30--属网页浏览器类目,Fluoroacetate(Amat Cama和Richard Zhu)针对Microsoft Edge的内核升级和VMware迁移。
成功-- Fluoroacetate团队使用了Edge中的类型混淆,内核中的竞争条件,并最终在VMware中实现越界写入,从而实现通过虚拟机的浏览器跳转到主机系统上执行代码。这帮助团队赚取了130000美元,以及13个Master of Pwn积分。
14:00 --属于浏览器类,Niklas Baumstark成功从Mozilla Firefox沙盒中逃脱。
成功-- Niklas在逻辑错误之后利用JIT的漏洞成功从Firefox的沙盒中逃脱。这个成功演示为其获得了40000美元,并获得了4个Master of Pwn积分。
15:30--来自Exodus Intelligence的Arthur Gerkis向微软的Edge浏览器发起攻击。
成功--这是他首次参与Pwn2Own大会,Arthur使用渲染器的双重自由和逻辑错误绕过沙盒。这个演示为其获得了50000美元,以及5个Master of Pwn积分。
第三天
10:00 --汽车类别,KunnaPwn团队瞄准了特斯拉Model 3的VCSEC组件
撤回-KunnaPwn团队已退出汽车类别。
13:00 --汽车类别,Fluoroacetate (Amat Cama and Richard Zhu) 团队对Model 3上的信息娱乐系统(Chromium)发起攻击。
成功--Fluoroacetate团队使用渲染器中的JIT漏洞成功入侵Model 3,获得了35000美元。
虽然这些黑客在比赛过程赚取了数十万美元,但是最终目标是这些漏洞在被真正的黑客利用来攻击消费者之前已经被厂商修复了。但无论修复多少漏洞,明年黑客依然会找到新的漏洞。