扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
苹果已经发布一个新的Safari浏览器版本,修复了此前版本中存在的16个严重级别安全漏洞。但是笔者认为,苹果的疯狂安全更新仍然不足以面对今年CanSecWest Pwn2Own黑客大赛上高手们的挑战。
Apple Safari 最新版本4.0.5的更新包括了Windows和Mac平台,修补了一些漏洞,通过这些漏洞,黑客可以进行网页挂马并远程执行代码。这也是Pwn2Own大赛上黑客最常用的攻击Safari的手段。
在月初的RSA 2010大会上,笔者对知名黑客Charlie Miller做了一个简短的采访,在谈到他今年比赛的计划时,他很直接了当的表示,他准备了很多Safari的0-day漏洞,准备在Pwn2Own大赛上展示。
由于这是Pwn2Own大赛的重要筹码,因此,Miller没有把这些漏洞提交给任何安全厂商和Apple官方。值得一提的是,Miller利用Safari的漏洞分别赢得了2008和2009两届Pwn2Own大赛的奖金。
今年的大赛上,针对移动设备的攻击成为焦点,大赛组委会提供了6万美元的资金,以吸引黑客通过iPhone、Andriod、黑莓、诺基亚的漏洞来发起攻击,但是,Web浏览器,比如Windows和Mac平台上的Safari仍然是黑客关注的焦点之一。
Miller并不是唯一一个发现Safari高危漏洞的黑客。就在两周前,一个来自team509组织的黑客“wushi”就卖出了8个Safari的高危漏洞给TippingPoint Zero Day Initiative (ZDI,一个搜集漏洞的组织)。而买主有权力不与漏洞存在的厂商交流安全信息。顺便说一句,TippingPoint也是Pwn2Own大赛的赞助商之一。
ZDI的行为告诉我们,有很多没有补丁修复的Safari漏洞正在排队中。我们应当提到,“wushi”表示,只有一小部分的漏洞在上一个Safari的补丁中修复了。
这是Safari 4.0.5修复的远程执行漏洞的详细列表:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者