在CanSecWest安全大会中的Pwn2Own黑客大赛环节,仅在第一天浏览器军团中的Firefox,Safari,和IE均被攻破,而Google的Chrome浏览器成为该军团唯一一个幸存者。安全研究人员认为这归功于它革新的sandbox技术。
在第一天的竞赛中,参赛者被要求通过有效的方式来攻破这些浏览器,而且默认情况下这些浏览器没有安装任何插件比如Flash或者Java。
早在本月初,上届冠军Charlie Miller 就称,他将试图攻破Mac OS X下的Safari,他将成为首个攻破的参赛者。正如他所承诺的,他仅在10秒即拿下,Safari也成为第一个被攻破的浏览器。另外一位安全专家Nils花费更长时间,但是他成功拿下3款主流的浏览器(Safari,IE和Firefox)。
在接受ZDNet的采访时,Miller称,本次比赛中他所利用的Safari漏洞,是他在为去年的比赛准备时发现的,当时它并没有公布出来,他决定保留到今年的比赛上使用,因为该赛事每年仅为一个Bug设立奖金,这是他的人生哲学,他不可能免费向厂商公布这些Bug。
Miller还称:“我从来不对免费bug抱任何希望,我有个新的运动叫“NO MORE FREE BUGS”,漏洞拥有市场价值,所以努力去寻找Bug,写下攻击代码然后公布是没有任何意义的,Apple雇用人们去做同样的工作,所以我们知道这项工作是有价值的。”
Miller告诉记者为何选择Mac OS X下的Safari作为目标,因为他认为它是最容易击破的。Windows更加坚固是由于它的地址随机化特性和其他安全措施。至于Chrome,他称自己已经找到Google浏览器中的安全漏洞,但是还不能攻击它,这是由于该浏览器中的Sandbox特性和操作系统安全措施的结合,使得这成为个巨大的挑战。
游戏尚未结束,比赛的第二天我们将会把目光转移到Chrome上,Nils已经在第一天拿下三大浏览器或许他还有更多的方法可以击破。根据官方的规则,第二天允许使用浏览器插件。