科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Safari又将在黑客大赛上沦陷吗?

Safari又将在黑客大赛上沦陷吗?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

苹果已经发布一个新的Safari浏览器版本,修复了此前版本中存在的16个严重级别安全漏洞。但是笔者认为,苹果的疯狂安全更新仍然不足以面对今年CanSecWest Pwn2Own黑客大赛上高手们的挑战。

作者:Jolon编译 来源:ZDNet安全频道【原创】 2010年3月24日

关键字: 黑客 浏览器漏洞 浏览器 Safari

  • 评论
  • 分享微博
  • 分享邮件

  苹果已经发布一个新的Safari浏览器版本,修复了此前版本中存在的16个严重级别安全漏洞。但是笔者认为,苹果的疯狂安全更新仍然不足以面对今年CanSecWest Pwn2Own黑客大赛上高手们的挑战。

  Apple Safari 最新版本4.0.5的更新包括了Windows和Mac平台,修补了一些漏洞,通过这些漏洞,黑客可以进行网页挂马并远程执行代码。这也是Pwn2Own大赛上黑客最常用的攻击Safari的手段。

  在月初的RSA 2010大会上,笔者对知名黑客Charlie Miller做了一个简短的采访,在谈到他今年比赛的计划时,他很直接了当的表示,他准备了很多Safari的0-day漏洞,准备在Pwn2Own大赛上展示。

  由于这是Pwn2Own大赛的重要筹码,因此,Miller没有把这些漏洞提交给任何安全厂商和Apple官方。值得一提的是,Miller利用Safari的漏洞分别赢得了2008和2009两届Pwn2Own大赛的奖金。

  今年的大赛上,针对移动设备的攻击成为焦点,大赛组委会提供了6万美元的资金,以吸引黑客通过iPhone、Andriod、黑莓、诺基亚的漏洞来发起攻击,但是,Web浏览器,比如Windows和Mac平台上的Safari仍然是黑客关注的焦点之一。

  Miller并不是唯一一个发现Safari高危漏洞的黑客。就在两周前,一个来自team509组织的黑客“wushi”就卖出了8个Safari的高危漏洞给TippingPoint Zero Day Initiative (ZDI,一个搜集漏洞的组织)。而买主有权力不与漏洞存在的厂商交流安全信息。顺便说一句,TippingPoint也是Pwn2Own大赛的赞助商之一。

  ZDI的行为告诉我们,有很多没有补丁修复的Safari漏洞正在排队中。我们应当提到,“wushi”表示,只有一小部分的漏洞在上一个Safari的补丁中修复了。

  这是Safari 4.0.5修复的远程执行漏洞的详细列表:

图片

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章