PWN2OWN比赛亮点更新黑客专注于内核问题
作为服务的秘书赎金软件,与受害者发言
谷歌寻求限制法国人被遗忘的权利
7今年智能手机趋势
英国政府需要2,800名额外的数字员工来提供现有的计划
DOJ结束了替代品的效用探针;没有提交费用
英特尔考虑出售安全业务
保险公司推出英国第一个无人驾驶汽车政策
'锁定'赎金软件,感染Dridex,击中不幸
避免刻录M.D. Scrawh:Nuance提供特定于健康的演讲到文本产品
Gotthard基隧道在整个覆盖范围内打开
Amazon.com首席执行证委员会谨慎对测试和发展价值的企业
CIO采访:Elly Resende,Cio,Rio 2016奥运会
AMD的新FirePro Server GPU可以将基本PC转换为图形电力所
数据中心运营商应在跳入之前评估新兴市场
openssl修补严重但不是普遍的问题
甲骨文计划杀死攻击者的最爱:Java浏览器插件
虚拟现实在阅读大学找到粉丝
对俄罗斯银行员工的最新攻击突出了对金融机构的威胁
银行IT社区面临不确定的Brexit未来
英特尔的云和物联网专注企业提供令人失望的增长
土耳其使用数字技术来改善服务和发展客户群
联想旨在没有SIM卡的全球互联网连接
糟糕的技术选择损害生产力和削减收入
'Mac是任何现代企业的关键 - SAP
IBM刚刚给予苹果公司更多的企业可信度
数据如何在澳大利亚的医院拯救生存
CIO采访:ESAVIITAMÄKI,POSTI集团
谷歌虚拟现实 - 纸板回收到您实际想要的东西
谷歌去了OpenShift。这是黛安格林首次可交付吗?
HPE第二季度结果揭示了CSC服务交易中的风险
从警察开始在网络犯罪上聘用,经营
Logmein客户抱怨价格徒步旅行和合同续订
IoT供应商Jasper宣布更多合作伙伴关系
英国挑战者银行奥克斯·诺斯将其核心系统放在AWS云中
F-Secure说,大多数勒索厂帮派谈判开放谈判
布雷克利特将使英国更容易受到网络攻击的影响,说安全优势
在亚特兰大,智能城市计划旨在安全
据报道,微软购买了AI动力软件键盘制造商SWIFTKEY
创意CIO的出现
担保公司说,日本探测日本的基础设施由Cyber​​ Group说
5G可以在2020年之前完成
新的Chromebook不会用365磅磅的人站在上面
RIO 2016奥运会通过最终IT测试
主要电台加入Facebook的开放硬件推动
IoT的新超级组将有一个代码基础来统治它们
Angus委员会向苏格兰广域网注册
Theresa可能同意审查拟议的批量数据收集权力
最新的Surface Pro 4和Surface Book Firmware更新获取混合评论
在伊瑟姆研究所的Tim Stitt说,在课程上放置超级计算
您的位置:首页 >论坛 > 电子商务 >

PWN2OWN比赛亮点更新黑客专注于内核问题

2021-06-17 20:44:19 [来源]:

黑客在今年的PWN2WACHED竞赛中展示了21次攻击浏览器和操作系统的新漏洞。但是,漏洞利用的复杂性表明,黑客必须跳过许多箍来获得完整的系统控制。

周三和周四,五位参赛者 - 四支球队和一个独立的研究员 - 在Windows上展示了对OS X的Safari对阵Microsoft Edge的Safari成功的远程执行攻击,这是一个针对窗户的Adobe Flash和对Google的一个部分成功攻击镀铬在windows上。Firefox在今年的比赛中不是一个目标。

比赛在不列颠哥伦比亚省温哥华的Cansecwest安全会议期间每年举行一次。今年的版本由趋势科技和惠普Packard企业赞助。参赛者必须通过基于Web的攻击实现Windows 10和OS X El Capitan的最新安装,通过基于Web的攻击在最新版本的Apple Safari,Microsoft Edge,Google Chrome,Flash播放器和闪存播放器和闪存播放器和操作系统本身。

它不足为奇的是,经验丰富的安全研究人员在所有浏览器中发现漏洞,允许它们在目标系统上执行流氓代码。这几乎每年都在Pwn2own发生。

然而,攻击的复杂性突出,一些涉及利用最多四种漏洞的漏洞链。这是近年来浏览器和OS供应商所做的安全改进的证明。

它不再足以找到一个浏览器漏洞,以便在访问特制网站时完全控制计算机。该缺陷需要与他人组合以绕过沙箱保护机制或使用最高特权执行代码 - Windows上的“系统”帐户或OS X上的“根”帐户。

今年,该比赛提供了20,000美元的特权升级为“系统”或“root”,并且每一个成功攻击都采取了奖励,主要是通过在OS内核中利用漏洞。

在21个漏洞中,六个在浏览器中,六个在OS内核中。其余部分都在Flash播放器或OS组件和过程中。

Google Chrome漏洞旨在成为先前在PWN2own之前由独立的研究员向谷歌报告的缺陷的副本。因此,谷歌镀铬攻击只是统治了一个部分成功。

“这是安全的一种真正主义,当你强化一个地区时,攻击者和研究人员将注意他们的注意力,”安全公司趋势科技的竞赛组织者在一个博客文章中表示。“基于2016年的PWN2OWN,似乎正在发生在核心上的转变。”

他们说,这种趋势可能会继续,因此希望OS供应商将更多地关注其内核的安全性。

今年的比赛的获胜者是腾讯安全团队狙击手,占据了38“普洱大师”积分,并获得了142,500美元的总现金奖励。独立研究员Junghoon Lee赢得了更多的钱 - 145,000美元 - 但总体上得分更少:25.他拿了第二名。

来自中国互联网安全公司Qihoo 360的360Vulcan团队排名第三,拥有25分和132,500美元,第二次来自中国互联网巨头腾讯 - 腾讯安全团队盾牌 - 占地10分,40,000美元。腾讯宣武,第三个腾讯团队,并没有设法得分。

在VMware工作站的虚拟机逃生中,竞赛赞助商均未获得今年75,000美元的赏金。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。