您现在的位置是:首页 >金融 > 2019-12-26 11:50:09

Pwn2Own竞赛显示关键的安全缺陷仍然丰富

尽管开发人员在加强软件安全方面做得更好,但本周在Pwn2Own锦标赛上发现的35个漏洞表明,安全性仍在研究之中。年度竞赛将漏洞研究人员与运行四种不同浏览器和重要插件的最新操作系统进行对比,获胜者将受损的(或“伪造的”)笔记本电脑带回家,并获得高达100,000美元的现金奖励。惠普安全研究漏洞研究经理Brian Gorenc告诉eWEEK,八组研究人员试图对系统进行黑客攻击,向竞赛组织者报告了35个漏洞,这些漏洞将传递给各自的软件供应商进行补丁和修复。

他说:“您看到的市场非常有利可图,并且在不断增长,并且可以进行更多的漏洞研究。” “我们看到人们采用现成的方法来开发软件。”

较大的现金奖励有所帮助。去年,比赛大大增加了奖项,并颁发了超过半百万美元的奖金。有更多的准备时间,八支队伍出来了,并签署了15种不同的尝试漏洞利用方法。比赛共颁发了超过$ 850,000的现金奖励。

对Mozilla Firefox的三项攻击只需要一个漏洞,但是在大多数情况下,利用这些漏洞需要两个漏洞-一个突破应用程序沙箱,保护系统不受不信任代码的侵害,另一个提升浏览器上下文的特权。系统内核。Gorenc说,两阶段攻击是漏洞利用的新常态。

他说:“早在几年前,这将是一个漏洞,而您已经完成了。” “我们使开采更加困难。我们使成本变得更加困难。”

参赛者Sebastian Apelt和Andreas Schmidt使用的一种攻击利用了三个不同的漏洞来破坏Internet Explorer。

攻击性安全公司VUPEN在两天内收集了40万美元,用于利用Adobe的Reader和Flash,Microsoft的Internet Explorer,Mozilla的Firefox和影响Google Chrome的Webkit漏洞。

Internet Explorer 11设法阻止了一次利用该软件的尝试,而另外两个团队(包括VUPEN)设法突破了浏览器的安全性。

大量的漏洞表明,仍然可以找到关键的安全问题并将其链接在一起以利用系统并渗透服务器。软件供应商加强其代码并使开发更加困难的努力取得了丰硕的成果,但并未消除问题。但是,有一个一线希望:软件供应商将修复这35个漏洞,如果进行了根本原因分析,则软件开发人员可以改善其编程实践。

Gorenc说,比赛只会继续扩大,明年,更多的安全团队可能会尝试。

他说:“我们希望得到以前没有接触过的研究人员。” “我们希望他们继续前进,展示他们的出色工作。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章

点击排行

热门推荐