Pwn2Own黑客挑戰(zhàn)賽 IE 9難逃一劫

在3月8日星期四，谷歌修復(fù)了Chrome瀏覽器的兩個(gè)安全漏洞。一位為谷歌漏洞獎(jiǎng)勵(lì)計(jì)劃做出長期貢獻(xiàn)的人在谷歌首次舉行的“Pwnium”黑客競賽中獲得了6萬美元獎(jiǎng)金。

位于巴黎的Vupen安全公司的一個(gè)小組利用兩個(gè)已知的零日攻擊安全漏洞攻破了在Windows 7平臺(tái)上運(yùn)行的IE 9瀏覽器。這兩個(gè)安全漏洞可繞過操作系統(tǒng)的防御技術(shù)執(zhí)行攻擊代碼，讓攻擊代碼避開IE瀏覽器的“保護(hù)模式”。這個(gè)模式是IE瀏覽器的限制權(quán)限的反利用漏洞系統(tǒng)。

星期三(3月7日)，Vupen的研究人員還利用一個(gè)零日攻擊安全漏洞攻破了在Windows 7平臺(tái)上運(yùn)行的谷歌Chrome瀏覽器。谷歌懷疑這個(gè)漏洞不是在Chrome瀏覽器的本地代碼中。Vupen的研究人員執(zhí)行了一個(gè)代碼和另一個(gè)代碼，突破了Chrome瀏覽器的“沙箱”。

Chrome瀏覽器利用沙箱隔離技術(shù)防止瀏覽器泄露惡意軟件感染計(jì)算機(jī)的操作系統(tǒng)。

Pwn2Own競賽的贊助商惠普TippingPoint的零日攻擊計(jì)劃在周四(3月8日)晚些時(shí)候證實(shí)了Vupen的工作。

Vupen在Pwn2Own比賽上一直沒有對(duì)手。截至星期五(3月9日)早上，Vupen在計(jì)分系統(tǒng)中已經(jīng)獲得了124分。這個(gè)分?jǐn)?shù)將使它在周五晚些時(shí)候獲得現(xiàn)金獎(jiǎng)勵(lì)。

TippingPoint安全研究團(tuán)隊(duì)的負(fù)責(zé)人和Pwn2Own競賽的組織者Aaron Portno表示，Vupen的領(lǐng)先地位目前看來是不可能戰(zhàn)勝的。得分最多的研究人員或者團(tuán)隊(duì)將得到由ZDI提供的6萬美元獎(jiǎng)金，第二名將獲得3萬美元獎(jiǎng)金，第三名將得到1.5萬美元獎(jiǎng)金。

谷歌修復(fù)了Sergey Glazunov在星期三披露的兩個(gè)零日攻擊安全漏洞。Glazunov是到目前為止唯一的一位聲稱將獲得谷歌為自己的Pwnium競賽設(shè)定的100萬美元獎(jiǎng)金中的一部分獎(jiǎng)金的研究人員。

Glazunov在溫哥華舉行的CanSecWest會(huì)議上向谷歌安全團(tuán)隊(duì)演示了Chrome瀏覽器的安全漏洞。在他演示之后不到24小時(shí)，谷歌在周四早些時(shí)候發(fā)布了新版本的Chrome 17瀏覽器。CanSecWest安全會(huì)議舉行了Pwn2Own競賽和Pwnium競賽。

Glazunov由于自己的工作成績獲得了6萬美元獎(jiǎng)金。

Pwn2Own是在CanSecWest會(huì)議上第六年舉行這種競賽。Pwnium是今年首次舉行。

Glazunov展示了谷歌分類為“全面的Chrome漏洞”的安全漏洞。雖然谷歌沒有發(fā)布關(guān)于這些安全漏洞的額外信息，但是，谷歌像以前修改Chrome瀏覽器時(shí)所采取的措施一樣，阻止公開訪問它剛剛修復(fù)的這個(gè)安全漏洞的漏洞跟蹤數(shù)據(jù)庫。這表明Glazunov利用的兩個(gè)安全漏洞都是谷歌制作的代碼。

谷歌發(fā)言人在周四回答提問的電子郵件中稱，谷歌還沒有修復(fù)Vupen利用的安全漏洞，因?yàn)樗�還沒有收到來自ZDI的信息。

谷歌安全工程師在CanSecWest會(huì)議上也指出了這個(gè)問題。谷歌的Justin Schuh周四在微博中稱：“我確實(shí)希望ZDI提出這個(gè)安全漏洞，這樣，我們就可以制作一個(gè)補(bǔ)丁。”

Pwn2Own競賽還沒有把安全漏洞信息提交給谷歌或者微軟。但是，Portnoy稱，他們將在比賽周五結(jié)束之后把這些信息提交給谷歌和微軟。

谷歌和ZDI對(duì)于CanSecWest會(huì)議的黑客競賽一直存在分歧，因此谷歌退出了Pwn2Own競賽并且推出了自己的競賽。這個(gè)分歧集中在競賽完成之后ZDI要向廠商報(bào)告什么信息。

ZDI稱，它將向廠商報(bào)告執(zhí)行代碼安全漏洞，但是，不報(bào)告避開沙箱的安全漏洞。ZDI認(rèn)為，后一種情況很少，因此沒有價(jià)值。這個(gè)做法不可能吸引研究人員設(shè)法攻擊Chrome瀏覽器。

上個(gè)星期，ZDI進(jìn)一步指出，任何研究人員都不會(huì)放棄Chrome沙箱避開安全漏洞和利用這種漏洞，盡管谷歌提供6萬美元的頭等獎(jiǎng)獎(jiǎng)金。

當(dāng)人們要求對(duì)ZDI的預(yù)測發(fā)表評(píng)論時(shí)，Portnoy指出Glazunov是不斷地為谷歌漏洞報(bào)告計(jì)劃做貢獻(xiàn)的人并且爭辯說，提交這個(gè)安全漏洞表明了廠商與獨(dú)立研究人員建立牢固的關(guān)系的價(jià)值。

Portnoy稱，建立這種關(guān)系是有價(jià)值的。盡管研究人員對(duì)于他們因發(fā)現(xiàn)安全漏洞而獲得的獎(jiǎng)金不完全滿意，但是，他們?nèi)韵騔DI提交安全漏洞信息，因?yàn)樗麄兞私馕覀�，他們知道能夠向我們求助�?/p>

Portnoy稱，谷歌從它與Glazunov的關(guān)系中得到了同樣的好處。

Glazunov是一個(gè)Chrome瀏覽器安全漏洞報(bào)告機(jī)器。在2011年，他因?yàn)榘l(fā)現(xiàn)了許多安全漏洞獲得了谷歌的將近5.9萬美元獎(jiǎng)金。

根據(jù)自己的做法，ZDI沒有披露Vupen用于攻破Chrome和IE9瀏覽器的安全漏洞，并且在廠商發(fā)布安全補(bǔ)丁之前不會(huì)公布這些安全漏洞。然而，谷歌的Schuh認(rèn)為，這個(gè)法國小組利用的安全漏洞不在Chrome瀏覽器自己的代碼中，而是在Adobe的Flash播放器軟件中。這個(gè)軟件是與每一次Chrome更新一起發(fā)布的。

ZDI和谷歌都暗示，在Pwn2Own和Pwnium競賽在3月9日結(jié)束之前還會(huì)有更多的瀏覽器破解演示。

用于Windows、Mac OS X和Linux平臺(tái)的Chrome 17瀏覽器可以從谷歌網(wǎng)站下載。目前使用Chrome瀏覽器的用戶在下一次啟動(dòng)這個(gè)瀏覽器的時(shí)候會(huì)收到一個(gè)自動(dòng)的后臺(tái)更新。 

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]