据国外媒体报道,本周三,2009年全球黑客大赛在加拿大温哥华市举行,参赛者查理·米勒(Charlie Miller)利用苹果Safari浏览器存在的一个漏洞,在不到两分钟时间内取得了相应笔记本系统控制权。随后微软IE 8、Mozilla的火狐(Firefox)3浏览器也被另一位参赛者相继攻破。而同样作为被攻击目标的谷歌Chrome浏览器的安全性最好,目前没有被任何一个参赛者攻破。
据了解,比赛的组织者为参赛者提供了两台机器,Sony Vaio用于运行预安装IE8、Firefox和Chrome的微软Windows 7,另一台是预安装Safari和Firefox浏览器的Mac电脑。这两台电脑都带有精选的默认软件,并且不带有任何额外的插件。当最终用户用电脑访问带有恶意内容的脚本链接时,Safari最先受到攻击,并且崩溃得很严重。
2009年全球黑客大赛共分为两个奖项,一是针对浏览器漏洞,每个漏洞奖金5000美元;二是针对移动设备,每个漏洞奖金1万美元。参赛者攻破笔记本或移动设备后,都可拿走自己所攻破的机器。
TippingPoint的安全响应经理Terri Forslof表示:“参赛者查理·米勒(Charlie Miller)在数秒内就发现了Safari浏览器的漏洞所在,并且在两分钟之内完成Mac电脑的攻击任务,成功地获得5000美元奖金,和被其攻破的MacBook。”
继米勒之后,一位名为“Nils”的参赛者大显身手,在一台预装微软Windows 7操作系统的索尼Vaio笔记本上攻破了微软IE 8浏览器,他获得的奖金也是5000美元,外加这台索尼Vaio笔记本。随后Nils又继续在Mac OS X操作系统环境下,分别攻破Safari和火狐浏览器,并因此再获1万美元奖金。
大赛主办方称,日后将会把上述四个浏览器的漏洞(Safari两个,IE和火狐各一个)分别反馈给苹果、微软和Mozilla。在相应漏洞补丁发布之前,大会主办方和参赛者皆不得对外公布这些漏洞的详细情况。
此外,谷歌Chrome浏览器也是此次大会参赛者攻击目标之一,但截至目前,还没有参赛者能够攻破Chrome。
谷歌的一位发言人表示,通过Pwn2Own大会,可有效检测Chrome的安全性能,这次的黑客大赛就是Chrome安全性能的最好见证。