Pwn2Own 2010駭客大會：多數瀏覽器、iPhone無一倖免 由安全研究機構TippingPoint DVLabs贊助的第4屆Pwn2Own 2010駭客大賽，從3月24日到 26日為期三天，是駭客們大方公開拋頭露面的少數競賽！比賽項目為侵入網頁瀏覽器以及 智慧型手機，駭客們順利攻破除了得到名譽外，還有獎金可拿，總計高達10萬美元。 IE 8、Firefox 3、Safari 4、iPhone順利被攻破 Pwn2Own競賽的首日成績已出爐，包括IE、Firefox及Safari瀏覽器皆無一倖免成功被攻陷 ，僅剩Chrome繼續獨撐大樑，這情形就如同去年Pwn20wn 2009駭客大賽一樣，Safari瀏覽 器在比賽開始一分鐘不到即被攻破，IE、Firefox瀏覽器也都相繼沉淪，Chrome則是到比 賽結束都未被攻破，希望今年Chrome瀏覽器同樣能堅持到最後。雖然今年IE 8瀏覽器也早 早就被攻破，但微軟MSRC也在攻破12時內就對漏洞做出了反應，並預計在不久後提供安全 性更新，這應該是一個好現象。 在智慧型手機裝置方面，在比賽開始前就有駭客放話要iPhone好看，果然iPhone毫無懸念 在比賽第一天即被攻破，沒讓大家失望，而Blackberry系統、Symbain S60、Android系統 則尚未被攻破。攻破iPhone的駭客為32歲盧森堡大學博士研究員Ralf-Philipp Weinmann 以及22歲資安公司員工Vincenzo Iozzo合作，利用特別設計的頁面以return-into-lib攻 擊，繞過系統上程式碼簽章和數據執行保護機制，造成堆疊層的緩衝區溢位讓iPhone上的 Safari瀏覽器崩潰，得以順利攻破iPhone最新3.1.3版本，取得簡訊資料庫、甚至是一些 已刪除的簡訊。他們贏得1.5萬美元獎金、以及一支iPhone手機。 這邊簡單介紹一下Pwn2Own比賽規則，比賽是由安全研究機構TippingPoint DVLabs贊助， 目標是4大主流網頁瀏覽器，包含IE、Firefox、Chrome、Safari瀏覽器（Opera：哭哭） ，平台是在安裝安全更新的Windows 7作業系統下運行，Safari瀏覽器將在安裝蘋果Mac OS X 10.6雪豹作業系統下運作，順利攻破攻破一個主流瀏覽器便獎勵1萬美元，共4萬美 元。為了增加比賽難度，參加駭客競賽的參賽者不准使用Adobe Flash等第三方外掛。這 些第三方外掛一直都是作業系統中的安全弱項，破解專家Charlie Miller說只要瀏覽器裝 有Java或 Adobe Flash，被駭簡直是稀鬆平常。 智慧型手機裝置也選了4大主流系統，分別是iPhone 3GS、RIM Blackberry黑莓機的Blod 9700、Nokia E72的Symbain S60、HTC Nexus One的Android系統，每成功攻擊一款手機便 獎勵1.5萬美元，共6萬美元。 以下是DVLabs提供的比賽賽程、以及使用裝置，讓我們一起看看： Day 1： Microsoft Internet Explorer 8 on Windows 7 Mozilla Firefox 3 on Windows 7 Google Chrome 4 on Windows 7 Apple Safari 4 on MacOS X Snow Leopard Day 2： Microsoft Internet Explorer 7 on Windows Vista Mozilla Firefox 3 on Windows Vista Google Chrome 4 on Windows Vista Apple Safari 4 on MacOS X Snow Leopard Day 3： Microsoft Internet Explorer 7 on Windows XP Mozilla Firefox 3 on Windows XP Google Chrome 4 on Windows XP Apple Safari 4 on MacOS X Snow Leopard 電腦裝置： Apple Macbook Pro 15〃 HP Envy Beats 15〃 Sony Vaio 13〃 Alienware M11x 智慧型手機裝置： Apple iPhone 3GS RIM Blackberry Bold 9700 Nokia E72 device running Symbian HTC Nexus One running Android 只有Chrome沒被攻破… -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 125.230.15.40 ※ TypeZero:轉錄至看板 iPhone 03/26 21:21