正在加拿大溫哥華進行的Pwn2Own世界黑客大賽上,代表中國參賽的360安全戰隊正在鏖戰。在遠程攻破蘋果Safari瀏覽器的比賽中,他們以一個MacOS裡潛伏近30年的“骨灰級”漏洞獲得內核ROOT權限,一舉贏得該項目滿分。目前,360在已經參賽的Adobe Reader、Adobe Flash、蘋果MacOS和Safari四大項目中全部滿分奪冠,在大賽積分榜和獎金榜上雙雙排名榜首。
Pwn2Own官方積分榜:360排名榜首
360安全戰隊負責人鄭文彬介紹說,在Pwn2Own的歷史上,以往獲得蘋果MacOS內核ROOT權限至少要使用兩個甚至更多的漏洞,但此次360安全戰隊使用的是MacOS早期版本就存在的機制級漏洞,僅用一個漏洞就獲得內核ROOT權限。據悉,這也是迄今被發現影響時間最長的高危漏洞。
360安全戰隊在Pwn2Own大賽遠程攻破蘋果Safari瀏覽器並獲得內核ROOT權限
以封閉著稱的蘋果系統一直非常重視安全,每次版本升級時都會有針對性地修補漏洞,以確保系統達到最佳安全狀態。但是在頂級黑客的攻擊視野中,系統早期版本遺留下的代碼往往會暴露出令人意想不到的安全問題。
MacOS早期版本就存在的漏洞已潛伏近30年
鄭文彬介紹說,360在本屆黑客大賽中使用的所有漏洞細節和攻擊代碼都會第一時間提交給廠商官方,幫助蘋果、微軟和Adobe等系統和基礎軟件發現和修復漏洞,保護用戶更安全地上網。
根據Pwn2Own大賽規則,每支戰隊可以挑戰不同的比賽項目,總積分最高的戰隊將獲得“Master of Pwn”(破解大師)世界冠軍榮譽。在之前進行的比賽中,360安全戰隊率先攻破了Adobe Reader和Adobe Flash,並獲得Flash項目的Windows系統最高權限加分。此後,360又在Pwn2Own上首次挑戰蘋果產品,先後攻破MacOS和Safari瀏覽器,再獲Safari項目的內核ROOT權限加分,在已經參賽的四大項目中全部獲得冠軍。
針對中國團隊在Pwn2Own大賽上的優秀表現,賽事主辦方ZDI的負責人Dustin C. Childs表示,“現在,中國的黑客水平完全是世界頂級的。臺上或許只有幾秒鐘的破解時間,但臺下需要無數個小時的努力。我們希望通過Pwn2Own比賽,和各大團隊、廠商一起持續改善產品安全,改善網絡安全”。
相關推薦
