世界黑客大赛:苹果Mac潜伏近30年“骨灰级”漏洞

2017年03月17日09:30  来源:中国经济网
 
原标题:世界黑客大赛:苹果Mac潜伏近30年“骨灰级”漏洞

  正在加拿大温哥华进行的Pwn2Own世界黑客大赛上,代表中国参赛的360安全战队正在鏖战。在远程攻破苹果Safari浏览器的比赛中,他们以一个MacOS里潜伏近30年的“骨灰级”漏洞获得内核ROOT权限,一举赢得该项目满分。目前,360在已经参赛的Adobe Reader、Adobe Flash、苹果MacOS和Safari四大项目中全部满分夺冠,在大赛积分榜和奖金榜上双双排名榜首。

Pwn2Own官方积分榜:360排名榜首 

  360安全战队负责人郑文彬介绍说,在Pwn2Own的历史上,以往获得苹果MacOS内核ROOT权限至少要使用两个甚至更多的漏洞,但此次360安全战队使用的是MacOS早期版本就存在的机制级漏洞,仅用一个漏洞就获得内核ROOT权限。据悉,这也是迄今被发现影响时间最长的高危漏洞。

360安全战队在Pwn2Own大赛远程攻破苹果Safari浏览器并获得内核ROOT权限 

  以封闭著称的苹果系统一直非常重视安全,每次版本升级时都会有针对性地修补漏洞,以确保系统达到最佳安全状态。但是在顶级黑客的攻击视野中,系统早期版本遗留下的代码往往会暴露出令人意想不到的安全问题。

MacOS早期版本就存在的漏洞已潜伏近30年 

  郑文彬介绍说,360在本届黑客大赛中使用的所有漏洞细节和攻击代码都会第一时间提交给厂商官方,帮助苹果、微软和Adobe等系统和基础软件发现和修复漏洞,保护用户更安全地上网。 

  根据Pwn2Own大赛规则,每支战队可以挑战不同的比赛项目,总积分最高的战队将获得“Master of Pwn”(破解大师)世界冠军荣誉。在之前进行的比赛中,360安全战队率先攻破了Adobe Reader和Adobe Flash,并获得Flash项目的Windows系统最高权限加分。此后,360又在Pwn2Own上首次挑战苹果产品,先后攻破MacOS和Safari浏览器,再获Safari项目的内核ROOT权限加分,在已经参赛的四大项目中全部获得冠军。

  针对中国团队在Pwn2Own大赛上的优秀表现,赛事主办方ZDI的负责人Dustin C. Childs表示,“现在,中国的黑客水平完全是世界顶级的。台上或许只有几秒钟的破解时间,但台下需要无数个小时的努力。我们希望通过Pwn2Own比赛,和各大团队、厂商一起持续改善产品安全,改善网络安全”。

(责编:易潇、沈光倩)

推荐阅读