在日前举行的CanSecWest网络安全会议上,一家公司举办了一次黑客竞赛,如能攻破一台MacBook笔记本的Mac OS X操作系统,将得到这台笔记本和1万美元奖金。
在竞赛第二天,一位名叫Macaulay的软件工程师利用一个0-Day漏洞达到了这一目标。比赛使用的MacBook连接在一台无线路由器上,打好了最新的补丁,没有安装其他安全软件。第一天无人成功后,主办方放宽了条件,允许主办者使用目标系统访问参加者制作的危险网页。Macaulay随后利用Safari浏览器的一处漏洞获取了系统控制权。
Macaulay的背后实际上是安全专家Dino Dai Zovi,他之前曾受聘苹果为Mac软件除虫,他发现了Safari的这一漏洞,连夜花9小时写出了攻击代码。Macaulay仅仅是他在会场的代理人而已。Dai Zovi表示Macaulay将拿到那台笔记本,而他本人将领走1万美元奖金。
讽刺的是,这一漏洞的发现就在苹果推出4月安全更新,修补25个漏洞后仅仅1天。