瀏覽器成今年Pwn2Own駭客競賽焦點,南韓駭客破紀錄,獨自抱走22.5萬美元獎金
為期兩天的Pwn2Own 2015駭客競賽於上周四(3/19)結束,7隊參賽選手總計抱走55.75萬
美元獎金,其中,代號為lokihardt的南韓安全研究人員JungHoon Lee單槍匹馬抱走了
22.5萬美元的獎金(大約新台幣712萬元),創下Pwn2Own史上贏走最多獎金的紀錄。
伴隨著CanSecWest資安會議舉行的Pwn2Own是由HP的Zero Day Initiative與Google
Project Zero共同贊助,總共有7組隊伍報名參加Windows與Mac OS X平台與程式的漏洞攻
擊比賽,預設的攻擊目標包括Google Chrome、IE、Firefox、Adobe Reader、Adobe
Flash與蘋果的Safari等,全球四大瀏覽器皆入列,也都在第二天的賽事中全數被攻陷。
這7個團隊在兩天的賽事中總計發現了5個Windows漏洞、4個IE漏洞、3個Firefox漏洞、3
個Adobe Reader漏洞、3個Adobe Flash漏洞、2個Safari漏洞與1個Chrome漏洞,選手總計
抱走了55.75萬美元的獎金。
其中,JungHoon Lee找到一個IE漏洞(6.5萬美元)、一個Safari漏洞(5萬美元)與一個
Chrome漏洞。該Chrome漏洞除了既定的7.5萬美元獎金外,還有Google針對測試版額外提
供的1萬美元獎金,以及該漏洞所牽涉到的Windows SYSTEM權限擴張漏洞所得的2.5萬美元
獎金,共奪下了22.5萬美元的獎金,創下Pwn2Own史上單一團隊或個人贏走最多獎金的紀
錄。
由於Lee的完整攻擊展示只花了兩分鐘,以此計算,他每秒鐘就賺走了916美元(將近新台
幣2.9萬元)。HP安全研究團隊成員Dustin Childs稱讚Lee的表現:「無論如何這是很了
不起的成就,更何況他是獨自一人完成,而非一個團隊!」
另一HP安全團隊成員Brian Gorenc解釋,Lee鎖定的是最穩固的Chrome版本,他不但成功
攻擊了Chrome,還順便攻擊了Windows漏洞,以致於能夠掌控整個系統。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/94748
心得
聽說第一天微軟的IE僅撐了17秒就被祖國的360團隊給Kobe了