安全研究人員在 Pwn2Own 黑客大賽中發(fā)現(xiàn) Safari 漏洞，獲得 10 萬美元獎金

IT之家 4 月 9 日消息 每年，Zero Day Initiative 都會舉辦 “Pwn2Own”黑客大賽，安全研究人員可以通過發(fā)現(xiàn) Windows 和 macOS 等主要平臺的嚴(yán)重漏洞來賺錢。

2021 年的 Pwn2Own 線上活動在本周早些時候拉開帷幕，有 23 次獨立的黑客嘗試，涉及 10 種不同的產(chǎn)品，包括網(wǎng)絡(luò)瀏覽器、虛擬化、服務(wù)器等。今年的 Pwn2Own 活動為期三天，每天持續(xù)多個小時，在 YouTube 上進行了直播。

在 Pwn2Own 2021 中，蘋果產(chǎn)品并沒有成為主要目標(biāo)，但在第一天，來自 RET2 系統(tǒng)公司的 Jack Dates 執(zhí)行了一個 Safari 到內(nèi)核的零日漏洞，為自己贏得了 10 萬美元。他利用 Safari 中的整數(shù)溢出和 OOB 寫入來獲得內(nèi)核級代碼執(zhí)行。

在 Pwn2Own 活動期間，其他黑客嘗試的目標(biāo)是 Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome 和 Microsoft Edge。

例如，荷蘭研究人員 Daan Keuper 和 Thijs Alkemade 展示了一個嚴(yán)重的 Zoom 漏洞。二人利用三重缺陷，在沒有用戶交互的情況下，利用 Zoom 應(yīng)用獲得了對目標(biāo) PC 的完全控制。

IT之家了解到，Pwn2Own 的參與者因為發(fā)現(xiàn)的漏洞獲得了超過 120 萬美元的獎勵。Pwn2Own 給予蘋果等廠商 90 天的時間來對發(fā)現(xiàn)的漏洞進行修復(fù)，因此可以期待在不久的將來，該漏洞會在更新中得到解決。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。