在近期召开的Pwn2Own黑客大赛上,Edge、Safari、Firefox多款主流浏览器相继沦陷,其中Firefox和Edge浏览器则一共曝出了9个安全漏洞。有3个团队相继完成了漏洞利用,抱走了约27万美元的奖金。
Fluoroacetate团队
其中,在第即成功攻击Safari浏览器的Fluoroacetate团队先是锁定Firefox浏览器,然后诱导使用者访问恶意网站,即可通过浏览器的即时编译(JIT)漏洞以及Windows核心的越界写入(Out-of-Bounds Write)漏洞取得系统的控制权,而让Fluoroacetate获得5万美元的奖金。
接着Fluoroacetate执行另一项更为艰巨的任务,自VMware Workstation客户端开启Microsoft Edge以浏览该团队所特制的恶意网站,目标是在底层平台执行任意程序。他们相继利用了Edge中的类型混淆(Type Confusion)漏洞、Windows核心的竞争条件(Race Condition)漏洞,以及VMware Workstation的越界写入漏洞成功展示了攻击,抱走13万美元的大奖。
另一个参赛者Niklas Baumstark则通过Firefox的即时编译与逻辑错误漏洞执行了沙箱逃逸,在实际的应用上,相关漏洞将允许骇客于目标系统上以既有使用者的权限执行程式,获颁4万美元奖金。
锁定Edge展开攻击的Arthur Gerkis则先开采了渲染引擎的内存重复释放漏洞,再通过逻辑错误漏洞绕过了Edge的沙箱保护,赢得5万美元奖金。
【虽然这些黑客在比赛过程赚取了数十万美元,但黑客们通过成功入侵macOS上的Safari、Windows 10上的Edge和Firefox浏览器,再次向人们证明了世界上是没有一个完全安全的系统的。而无论厂商修复多少漏洞,明年黑客依然会找到新的漏洞。因此对于未知网页的访问,用户显然需要有更大的提防心了。】
免责声明:本文仅代表作者个人观点,与每日科技网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
本网站有部分内容均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,若因作品内容、知识产权、版权和其他问题,请及时提供相关证明等材料并与我们联系,本网站将在规定时间内给予删除等相关处理.
