去年以不到兩分鐘時間破解MacBook Air、抱回一萬美元大獎的資安專家,周三再度贏得
5,000美元獎金,這回他只花十秒鐘左右,就利用蘋果Safari瀏覽器的安全漏洞成功入侵
系統。
Charlie Miller是Independent Security Evaluators的資安分析師,他在CanSecWest資
安會議的Pwn2Own駭客競賽中,入侵一台執行最新版Mac OS的MacBook電腦。「Pwn2Own」
是駭客之間用的術語,意思是奪下電腦的控制權。
Miller表示,他去年發現這個安全漏洞,可讓駭客自遠端掌控一台電腦,只要促使電腦使
用者點擊某個惡意網站的URL即可得逞。
他一邊示範一邊說:「這不容易,但這(用Safari瀏覽器)點擊一下就辦到了。」
根據比賽規則,Miller不得揭露這個exploit(利用軟體安全弱點或漏洞的程式)的細節。
Miller表示,之前已向蘋果公司代表告知他打算這麼做。他說:「他們很高興,因為既可
得到免費的研究結果,又可修正一個軟體錯誤(bug)。」
這場駭客比賽的贊助商是TippingPoint,該公司將與蘋果公司分享這個exploit的資訊,
並製作修補程式。對利用主要網頁瀏覽器新安全漏洞的 exploit,TippingPoint提供
5,000美元獎金,另給一萬美元獎金徵選主要廠牌智慧手機的exploit。
2007年蘋果iPhone推出沒多久,Miller就發現手機版Safari有安全漏洞。
在Miller得獎之後,一名25歲的德國歐登堡大學電腦系學展示用exploit入侵IE 8、
Safari和Firefox,抱走1.5萬美元獎金。
這名拒絕公開全名的學生,可保有那台被他用exploit侵入的Sony Vaio電腦,而Miller也
可保有那台MacBook。(唐慧文譯)
Link:http://tinyurl.com/d4eswv
--
╭─╮ ▅█▅█▅ ╭────────────────╮ ◎◎◎◎
│呼│▌▄████▄▌│你真是荒野上令人目不暇給的牛仔! │◎◎◎◎◎◎
│!╰ ◤□︵□ ζ ╰────────────────╮◎□︵□ξ◎
│收│ ◥ 3◤ ▍ -=~●~●~●~●~●~● ◣▼ ◢
│槍│ ◢█▼█◤▅ ◥█︼█◤
╰─╯ █ █ ███ BY menb
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.116.84.199
推
03/19 16:42, , 1F
03/19 16:42, 1F