Pwn2Own 開始五分鐘 Chrome 就爆了

來源:nakedsecurity
標題:Chrome falls in first five minutes at Pwn2Own vulnerability contest
作者:Graham Cluley
內文:
Google 本身的有獎除駭的競賽( Pwnium )中有一組俄羅斯的安全研究人員藉由揭露Chrome 的安全漏洞淨賺 60000 鎂,另外其他的弱點獵人已經成功的發掘許多秘密。Chrome 自豪的預防攻擊追蹤記錄已經宣告這一系列的事件結束了。

法國的研究小組 Vupen 告訴 ZDNet ,本週在溫哥華舉行的Pwn2Own 比賽( 不同瀏覽器之間的安全性競賽),他們的目標就是Google的瀏覽器。

「我們想讓大家知道 Chrome 不是無敵的。我們看到很多頭條新聞說沒有人可以打掉Chrome。我們保證這是今年Chrome第一次被攻破。」VUPEN 的創辦人Chaouki Bekrar如是說。

Pwn2Own 的主辦人在Twitter宣布比賽剛開始五分鐘,那組駭客已經攻破Chrome。Vupen的 Bekrar展示了如何藉由Chrome 瀏覽某個包含網頁惡意碼而引發弱點。只要瀏覽這個網頁就會繞過Chrome 的沙盒並啟動Windows 的計算機,而不需要使用者同意。
Windows Calculator
The calculator in surprise
實際上的攻擊應該一些更邪惡行為。例如:植入惡意軟體到電腦裡。Pwn2Own 競賽是 Zero Day Initiative 賞金活動之一由TippingPoint 主辦。而Vupen 的努力可以為他贏得 Chrome項目的 32分。

Vupen 展示其他的成果同樣也得到了分數,其中一個是 Safari。假設他們保持第一名成績到星期五將可獲得 60000 鎂獎金。

Google 從Pwn2Own 競賽中分開,因為他們認為 Pwn2Own規則改變會阻礙他們獲知更多成功攻擊的細節。

如果你知道如何打掉Chrome,可為你賺進從沒想過的收入。但請先確認你是和安全研究社群合作,而不是利用該弱點到處危害。

留言

這個網誌中的熱門文章

資安JAVA(十一):X-XSS-Protection

資安JAVA(十):X-Content-Type-Options

以 SharpPcap 實作可收聽封包的 C# 程式