Pwn2Own是一個(gè)安全研究人員的大會(huì),只要在一天內(nèi)成功入侵電腦即可獲得現(xiàn)金和硬件大獎(jiǎng)。Windows 7上的IE8、Windows 7上的Firefox 3、Mac OS X 10.6上的Safari 4和iPhone OS 3都在這次比賽中落馬。唯有Google的Chrome保持不敗金身──實(shí)際上,根本沒有人在比賽中試圖入侵Chrome。
iPhone在去年并沒有被成功入侵,但是今年卻落馬了。德國(guó)Zynamics公司的Vincenzo Iozzo和盧森堡大學(xué)的博士后Ralf-Philipp Weinmann利用Safari的漏洞通過(guò)短信直接獲得了控制權(quán)。
Peter Vreugdenhil成功入侵了IE8,它還發(fā)表了繞過(guò)DEP和ASLR保護(hù)的簡(jiǎn)單方法和視頻。
對(duì)Safari的入侵來(lái)自Charlie Miller,他已經(jīng)連續(xù)三年成功拿下Safari了。
可惜的是對(duì)Firefox的入侵方法沒有被披露。另外,Opera再一次被滑膩膩滴忽略鳥~~~~
不管是iPhone還是IE8的入侵都逃過(guò)了操作系統(tǒng)提供的沙盒。如果擾不過(guò)沙盒的話,漏洞的影響就會(huì)降低甚至被阻止,比如寫入硬盤這個(gè)惡意軟件常用的操作,不過(guò)如果可以讀硬盤的話還是可以偷到數(shù)據(jù)。
Chrome的沙盒很好的保證了自己的金身,甚至沒有人想去入侵它。當(dāng)然也不是說(shuō)Chrome就沒有安全問(wèn)題──在Pwn2Own比賽之前幾天Google發(fā)布了一個(gè)更新修復(fù)了大量安全問(wèn)題,有些是非常高危級(jí)別的。當(dāng)然,Google的沙盒也并不是堅(jiān)不可摧的,但它確實(shí)有效的阻止了入侵。
