研究人员在Pwn2Own黑客大赛中赚了28万美元

随着第八届Pwn2Own的开局令人印象深刻,团队入侵IE10,Chrome 25,Firefox 19和Java 7

研究团队周三在Pwn2Own黑客大赛中破解了Microsoft的Internet Explorer 10(IE10),Google的Chrome和Mozilla的Firefox,获得了超过25万美元的奖金。

当天早些时候,一个单独的黑客利用Oracle的Java赢得了20,000美元。

法国漏洞研究和漏洞销售公司Vupen去年在Pwn2Own上排名第一,它通过利用两个缺陷降低了运行在Windows 8驱动的Surface Pro平板电脑上的IE10。

“我们为微软的Surface Pro分配了两个IE10零天时间,以通过沙盒绕过实现Windows 8的全面折衷。” 推特 星期三下午。

惠普TippingPoint的零日倡议(ZDI)错误赏金计划今年与Pwn2Own共同赞助-Google也向比赛投入了资金-证实了Vupen黑客攻击本身。

根据Pwn2Own的规则,该规则是从2012年的挑战中进行了重大修订的,因此第一个在Windows 8上入侵IE10的研究人员或研究人员团队赢得了 $ 100,000现金奖,以及托管浏览器目标的计算机。

当天快要结束时,Vupen跟进了在Windows 7上使用Firefox 19的攻击,另外获得了6万美元。

Pwn2Own于星期三在不列颠哥伦比亚省温哥华举行的CanSecWest安全会议上开始,并将持续到星期五。

同样在星期三,来自英国MWR InfoSecurity分支机构MWR Labs的两个人小组入侵了 铬25 在Windows 7上通过利用浏览器和操作系统中的多个“零时差”或未修补漏洞来实现安全性。

就像IE10的Vupen骇客一样,MWR Labs对Chrome的利用也导致了Windows反漏洞“沙盒”技术的完全绕开。 MWR Labs的研究人员在Pwn2Own发现了漏洞,建立了漏洞利用并证明了他们的技能,他们是Nils和Jon Butler。尼尔斯拥有Pwn2Own的历史:他在2010年通过入侵Mozilla的Firefox赢得了10,000美元,在一年前通过利用Firefox,IE8和Apple的Safari赢得了15,000美元。

Nils和Butler简要介绍了他们的Chrome黑客 博客文章 周三,概述了他们如何击败Windows的安全防御,包括地址空间布局随机化(ASLR)和数据执行保护(DEP)。

对于他们的工作,尼尔斯和巴特勒获得了100,000美元。

在竞赛开幕时,一对单独的研究人员-英国Context Information 安全的首席顾问James Forshaw和Accuvant的Joshua Drake-开发了Oracle的Java。 Forshaw赢得了Pwn2Own最低价的奖项,赢得了20,000美元。 Vupen还成功利用自身的漏洞并利用了Java 7。

ZDI表示,与原始规则背道而驰,它将从研究人员那里购买所有成功的漏洞及其相关漏洞利用,甚至是那些没有获得奖励的漏洞。它并没有说明出售此类次要漏洞会给黑客带来多少收益:ZDI和其他漏洞赏金计划通常对他们所支付的费用持谨慎态度。

周三有几项奖项得主无人认领,其中包括Windows 7上Adobe的Flash Player和Adobe Reader的两个$ 70,000奖金,以及OS X Mountain Lion上的Safari的$ 65,000奖金。 Flash和Reader将于今天受到攻击。

谷歌自己的竞赛Pwnium 3将于周四在CanSecWest揭幕,届时研究人员将锁定搜索巨头基于浏览器操作系统的Chrome OS。 Pwnium 3以 314万美元 谷歌已预留了可能的奖励,并为每次成功的利用获得了15万美元的个人奖励。

这是Pwn2Own的第八个年头,但总奖金超过50万美元,是该比赛的最高记录。

有关Pwn2Own的更多信息,请参见 TippingPoint的博客.

格雷格·凯泽(Gregg Keizer) 涵盖Microsoft,安全性问题,Apple,Web浏览器和通用技术最新新闻 电脑世界。在Twitter上关注Gregg,网址为: @gkeizer, 上 谷歌+, 或订阅 Gregg的RSS feed 。他的电子邮件地址是 [email protected].

看到 格雷格·凯泽(Gregg Keizer)在Computerworld.com上提供的更多内容.

版权© 2013 IDG通讯,Inc.

  
在亚马逊上购买技术产品