安全研究人員在 Pwn2Own 黑客大賽中發(fā)現(xiàn) Safari 漏洞，獲得 10 萬美元獎(jiǎng)金

IT之家 4 月 9 日消息 每年，Zero Day Initiative 都會(huì)舉辦 “Pwn2Own”黑客大賽，安全研究人員可以通過發(fā)現(xiàn) Windows 和 macOS 等主要平臺(tái)的嚴(yán)重漏洞來賺錢。

2021 年的 Pwn2Own 線上活動(dòng)在本周早些時(shí)候拉開帷幕，有 23 次獨(dú)立的黑客嘗試，涉及 10 種不同的產(chǎn)品，包括網(wǎng)絡(luò)瀏覽器、虛擬化、服務(wù)器等。今年的 Pwn2Own 活動(dòng)為期三天，每天持續(xù)多個(gè)小時(shí)，在 YouTube 上進(jìn)行了直播。

在 Pwn2Own 2021 中，蘋果產(chǎn)品并沒有成為主要目標(biāo)，但在第一天，來自 RET2 系統(tǒng)公司的 Jack Dates 執(zhí)行了一個(gè) Safari 到內(nèi)核的零日漏洞，為自己贏得了 10 萬美元。他利用 Safari 中的整數(shù)溢出和 OOB 寫入來獲得內(nèi)核級(jí)代碼執(zhí)行。

在 Pwn2Own 活動(dòng)期間，其他黑客嘗試的目標(biāo)是 Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome 和 Microsoft Edge。

例如，荷蘭研究人員 Daan Keuper 和 Thijs Alkemade 展示了一個(gè)嚴(yán)重的 Zoom 漏洞。二人利用三重缺陷，在沒有用戶交互的情況下，利用 Zoom 應(yīng)用獲得了對(duì)目標(biāo) PC 的完全控制。

IT之家了解到，Pwn2Own 的參與者因?yàn)榘l(fā)現(xiàn)的漏洞獲得了超過 120 萬美元的獎(jiǎng)勵(lì)。Pwn2Own 給予蘋果等廠商 90 天的時(shí)間來對(duì)發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)，因此可以期待在不久的將來，該漏洞會(huì)在更新中得到解決。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。