科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Pwn2Own黑客大赛首日战报:Firefox率先杯具了

Pwn2Own黑客大赛首日战报:Firefox率先杯具了

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在加拿大温哥华举行的CanSecWest Pwn2Own黑客挑战大赛开始了第一天的征程,很多熟悉的攻击目标仍然受到黑客们的青睐。

作者:Jolon编译 来源:ZDNet安全频道【原创】 2010年3月25日

关键字: Pwn2own 黑客 Firefox

  • 评论
  • 分享微博
  • 分享邮件

  在加拿大温哥华举行的CanSecWest Pwn2Own黑客挑战大赛开始了第一天的征程,很多熟悉的攻击目标仍然受到黑客们的青睐。

  连续第二年,德国著名黑客“Nils”利用Mozilla Firefox的未知漏洞来获得对Windows 7 64Bit电脑的完全控制权限。

Pwn2Own黑客大赛首日战报:Firefox率先杯具了

德国著名黑客“Nils”

  这个成功的入侵演示,完全击溃了Windows 7的ALSR+DEP安全机制。随后,还有一些黑客演示了攻击Mac OS X平台上的Safari、Windows 7平台上的IE 8以及苹果的iPhone手机。有意思的是,没有黑客对Google Chrome浏览器进行攻击。

  接下来我们简单采访了第一天的主角“Nils”,这名年仅26岁的黑客竟然在英国水利部信息安全中心领导着一个安全研究团队。在大赛上,他还计划攻击苹果的Safari浏览器,遗憾的是,另一名黑客Charlie Miller的成功入侵让他没有获得这个项目的奖金。

  “Nils”表示,按照比赛规则,他不能透露Firefox漏洞以及攻击的细节,因为大赛的赞助商TippingPoint ZDI拥有这些信息的独享权,但是他可以透露一点的是,在攻击过程中,最大的挑战是绕过Windows 7系统的一些安全机制。

  他使用了很多技巧来绕过Windows 7中的ASLR+DEP(随机化地址空间布局和数据执行保护,是Vista和Win7中引入的防止缓存溢出攻击机制)。这个之后,他就可以很方便的在目标机器上加载可执行文件了。

  ASLR与DEP是Windows新版本中重要的安全保障技术,它们被视为组织针对系统攻击最重要的屏障,然而,Pwn2Own大赛告诉我们,只要黑客有足够的东西和高明的手段,突破Windows的缓存溢出保护机制也是易如反掌的。

  “Nils”还表示,在安全上,Firefox可以结合Windows的ASLR做的更好的,不像现在这样,可以轻松利用一个执行错误来绕过Windows的系统防御。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章