作为世界上最负盛名的黑客大赛,Pwn2Own从2007年举办至今刚好是第十个年头。在2017年Pwn2Own即将举办之际,主办方ZDI发布了一篇名为”Pwn2Own—The Root of Research”的博客,回顾了十年间Pwn2Own在推动网络安全方面所做的贡献。中国安全团队360Vulcan在2016年攻破最难项目Chrome,全过程使用了谷歌、微软和Adobe三家厂商的三款产品的四个0day漏洞,成功完成了看似不可能完成的任务,成为唯一被ZDI在十周年总结中点名提到的参赛团队。
每年3月,安全圈的目光都会聚焦在加拿大温哥华举办的Pwn2Own黑客破解大赛上。就像时尚圈里迷人的巴黎T台一样,Pwn2Own这个赛场引领着安全圈下一个年度的漏洞研究风向,也检阅着各国参赛队伍的安全内功。
参赛者对微软、谷歌、苹果等主流厂商的最新浏览器和操作系统产品,使用0day漏洞进行现场破解演示,使用的漏洞将提供给相关厂商进行修复。由赛事掀起的一场场漏洞研究热潮,将持续敦促厂商出台漏洞缓和措施,提升产品的安全性,更好地保护用户的安全。
主办方ZDI透漏,相较于2007年只用一个简单的漏洞就能攻破目标,如今漏洞利用难度逐步提高,想要攻破比赛中的高难项目,没有几个0day漏洞傍身几乎是不可能的。对于普通用户来说,软件和系统的安全性提升当然是好事;但对于参赛者而言,压力却是一年比一年大。2015年,曾经在Pwn2Own上实现四连冠的法国“网络军火商”VUPEN就因比赛难度增大而奖金减少而公开退赛。
ZDI在博客中提到,360Vulcan团队利用一个Chrome浏览器渲染引擎漏洞、两个Flash的UAF漏洞、再加上一个微软内核漏洞,成为攻破Chrome并获得系统权限。这也证明了比赛难度在过去十年间正在与日俱增。
“台上一分钟,台下十年功”,这句话用来形容安全研究人员一点也不过分。赛场上执行攻击代码也许只要短短的几十秒,但电光火石的背后却是动辄几百个小时的专项研究和多年来苦修的坚持。
来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn。
华为 Pura70 系列突然先锋开售,你抢到了吗?对于这次的新机来说,除了一如既往的优雅设计和强悍的硬件配置外,我们更为关注的则是其全球首发的「楼层级设备查找」功能,软实力也可以很硬核!
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。