f***y
发帖数: 4447 | 1 http://tech.qq.com/a/20160318/018128.htm
腾讯科技讯 3月18日上午,黑客“世界杯”Pwn2Own 2016的最后一场“人机大战”,在
腾讯安全Sniper战队与微软Edge浏览器之间展开较量。代表中国出战的腾讯安全Sniper
战队攻破微软Edge浏览器,并获得SYSTEM权限,取得全额积分15分。
经过两天角逐,腾讯安全Sniper战队凭借总积分38分成为Pwn2Own史上第一个世界总冠
军,并且获得这一顶级赛事史上首个“Master of Pwn”(世界破解大师)称号。本届
比赛腾讯安全战队总计拿到48分。
一直以来浏览器都是网络攻击的重灾区,近年来,微软公司在安全性方面提升不小,而
Edge被誉为微软最安全的网页浏览器,与谷歌(微博)Chrome浏览器处于同一量级。此项
比赛的难度在于除了遵循Pwn2Own一贯严苛的漏洞挖掘规则,参赛者还被要求在完全补
丁版本的64位Windows 10上利用微软Edge浏览器,发现和揭露可利用的未知漏洞。
与往届赛事相比,Pwn2Own对规则进行了完善。往年以抽签决定出场顺序,并按攻破时
间的先后确定冠... 阅读全帖 |
|
N*******g
发帖数: 370 | 2 当看到Pwn2Own 2013黑客大赛上令人眼馋的巨额奖金,你就应该能想到,那些浏览器什
么的,坚持不了多久的,肯定会有一大批会在大赛第一天就被黑客攻破。果不其然,目
前,Firefox、IE10、Java和Chrome都已经被攻克。
法国安全公司VUPEN宣布,他们已经利用漏洞成功黑掉了Windows 8平台上的IE10、
Windows 7平台上的Firefox 19、Java。“我们利用Surface Pro上的两个IE10 0day漏
洞绕过了沙盒防护,攻破了Windows 8。”
VUPEN表示,所有他们在Pwn2Own大赛上使用的0day漏洞和技术都已经报告给了受影响的
软件供应商,也就是微软、Mozilla和甲骨文,以方便他们发布相关补丁保护用户免受
类似的攻击。
此外,MWR实验室的专家们完全绕过了最新稳定版Chrome的沙盒防护,成功拿下Chrome
。“通过访问一个恶意网页,它的一个漏洞允许我们在沙盒渲染进程中获取代码执行权
。”
Accuvant实验室的Josh Drake和来自Contextis的James Forshaw也都攻克了Java。 |
|
f*******5
发帖数: 10321 | 3 http://www.computerworld.com/s/article/9213018/Apple_to_patch_S
Computerworld - Apple will patch its Safari browser before the Pwn2Own
hacking contest kicks off next week, security researchers hinted today.
If accurate, Apple will join both Google and Mozilla, which earlier this
week issued security updates for Chrome and Firefox as preparation for
Pwn2Own.
On Wednesday, Apple patched a record 57 vulnerabilities in its iTunes music
software; 50 of those bugs were attributed to WebKit, the open-s... 阅读全帖 |
|
f***y
发帖数: 4447 | 4 http://www.leiphone.com/news/201610/pKgvL7LQTzlUKM7Q.html
10月26日下午,世界黑客大赛Mobile Pwn2Own,结束最后一项争夺。代表腾讯安全出战
的腾讯安全联合实验室旗下的科恩实验室团队表现惊艳,仅用时8秒攻破iOS10.1,10秒
攻破Nexus 6p。值得一提的是,这两次破解均是相应目标在全球范围内首次被攻破。最
终,腾讯科恩实验室凭借总积分第一,获得该项赛事“Master of Pwn”(破解大师)
称号。这也是继2016年腾讯安全Sniper战队在黑客“世界杯”Pwn2Own获得破解大师的
称号之后,华人再度夺此桂冠。
本届Mobile Pwn2Own大赛着重关注移动操作系统、手机浏览器和手机应用的安全性问题
。参赛团队以iPhone6S、Nexus 6p、Galaxy S7为硬件目标,分别进行手机内部敏感信
息获取、给手机安装恶意应用程序、固件及破解三个攻击项目。
在第一项Nexus 6p app install挑战中,腾讯科恩实验室团队作为首个亮相的参赛团队
,用时10秒便攻破Nexus 6p,轻松取得赛事开... 阅读全帖 |
|
f***y
发帖数: 4447 | 5 http://society.people.com.cn/n1/2016/0317/c1008-28205935.html
人民网北京3月17日电(记者 张雨)近日,在加拿大温哥华举办的世界黑客大赛
Pwn2Own上,360Vulcan Team用时11秒攻破了本届赛事难度最大的谷歌Chrome浏览器,
并成功获得系统最高权限。这是中国安全团队在Pwn2Own历史上首次攻破Chrome。
此外,360Vulcan Team还攻破了基于Edge浏览器的Adobe Flash Player,同样获得系统
最高权限,再获80000美元全额奖金和13分满分成绩。
“人机大战”,黑客获胜
Chrome代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”Google
Project Zero以外,谷歌还拥有上千台服务器以深度挖掘技术对Chrome等产品进行漏洞
测试。
同时,Chrome还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后
,攻击代码对外部的资源不再具有访问权限,Chrome也因此在历届Pwn2Own大赛都成为
黑客面临的终极挑战,最新版Chrome的安全... 阅读全帖 |
|
k****n
发帖数: 780 | 6 北京时间3月19日,在加拿大温哥华举行的Pwn2Own 2015世界黑客大赛上,来自中国的安全研究团队360Vulcan Team仅用时17秒就率先攻破微软Win8.1系统和最新的IE11浏览器。这是亚洲团队9年来第一次在世界大赛中攻破IE,从而一举打破了欧美国家在该项
目上的统治地位。
Pwn2Own是全球公认级别最高的黑客大赛,比赛主办方为惠普ZDI项目,微软、Google、苹果等巨头也均是该赛事的赞助商。参赛黑客可以选择IE、Chrome、Safari和Firefox浏览器或Adobe Flash、Adobe Reader插件作为攻击目标,其中Chrome和IE是挑战难度最高、奖金最丰厚的两款产品,单项奖金分别为75000美元和65000美元,而在去年比赛被打成“筛子”的Firefox奖金只有3万美元。
与往届相比,今年Pwn2Own的IE11挑战难度空前,国际顶级黑客团队VUPEN也宣告放弃。而首次组队参赛的360Vulcan Team就选择了IE作为目标,并成功利用多个0day漏洞攻破拥有增强沙箱保护、全64位进程、微软EMET漏洞防御、Win8.1安全机制等最高级别防护的I... 阅读全帖 |
|
c***s
发帖数: 70028 | 7 Keen团队主攻手陈良(右)
“二分之一是各地的历年高考状元,二分之一是数学专业,二分之一来自微软。”Keen这样的团队不太喜欢用中文的“黑客”来自称,因为这个字眼让人感觉是在神秘地做“黑事”,一定要用时,也要称自己是“白帽黑客”。他们也坚决与黑产划清界限,这也是圈内的“道德洁癖”,一个人一旦有意涉足黑产,便再也不会被信息安全圈内接受。
成功攻破数个目标系统
北京时间2014年3月14日凌晨,加拿大温哥华,Pwn2Own比赛现场。在这项全球顶级信息安全赛事中,苹果的桌面操作系统Mac OS已经连续三年保持了未被攻破的“不败金身”。
“Pwn2Own”由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和安全解决方案提供商赞助,提供最新版本最安全的主流桌面操作系统、浏览器和应用程序作为攻击对象,各参赛队所使用安全漏洞和攻击手段的技术细节只会被反馈给相应的厂商,供其发布漏洞补丁。为鼓励技术创新,赞助商今年为所有项目的获胜队提供了总计100万美元的奖金。
上海Keen团队主攻手陈良,用15秒攻破最新的苹果桌面操作系统MacOS X,是参赛选手里唯一成功攻破目标系统的人... 阅读全帖 |
|
b********n
发帖数: 38600 | 8 信源:人民网
神不知鬼不觉,一部装有最新iOS7系统的iPhone5手机中的照片账号密码等被王琦轻而
易举地盗取了。在今年11月初举行的第三届上海市信息安全活动周,碁震(上海)云计算
科技有限公司掌门人王琦露了一手,震住了场内众人。王琦说,最干净、最新、最安全
的手机,都无法完全避免漏洞。
在11月中旬日本东京举行的世界顶级信息安全比赛Pwn2Own上,王琦和他的小伙伴们则
震住了全球的技术高手。碁震团队(Keen Team)花了不到30秒时间,就率先破解了苹果(
519.8, -1.34, -0.26%)最新的iOS7.0.3系统,这也是iOS7.0.3第一次被远程破解,王
琦他们首次将国际顶级黑客大赛的冠军奖杯捧回了国内。这到底是怎样的一群人?他们
是如何在看不见硝烟的战场上演绎着攻防战?《IT时报》记者与这群全球顶级黑客进行
了零距离接触。
冠军 刹那间敲开胜利之门
在Pwn2Own比赛开始前的一周,记者在上海与Keen Team团队的负责人王琦进行了面对面
交流。当时他只知道比赛的胜负关键首先是看谁先攻破最新的iOS系统,而具体的比赛
内容他并不清楚,不过他却是信心满满:“就是... 阅读全帖 |
|
d*********o
发帖数: 6388 | 9 http://news.163.com/14/0413/08/9PMTJAKG00011229.html
Keen团队主攻手陈良(右)
原标题:中国顶尖“黑客”团队:一半是历年高考状元
“二分之一是各地的历年高考状元,二分之一是数学专业,二分之一来自微软。”Keen
这样的团队不太喜欢用中文的“黑客”来自称,因为这个字眼让人感觉是在神秘地做“
黑事”,一定要用时,也要称自己是“白帽黑客”。他们也坚决与黑产划清界限,这也
是圈内的“道德洁癖”,一个人一旦有意涉足黑产,便再也不会被信息安全圈内接受。
成功攻破数个目标系统
北京时间2014年3月14日凌晨,加拿大温哥华,Pwn2Own比赛现场。在这项全球顶级信息
安全赛事中,苹果的桌面操作系统Mac OS已经连续三年保持了未被攻破的“不败金身”。
“Pwn2Own”由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和安全解
决方案提供商赞助,提供最新版本最安全的主流桌面操作系统、浏览器和应用程序作为
攻击对象,各参赛队所使用安全漏洞和攻击手段的技术细节只会被反馈给相应的厂商,
供其发布漏洞补丁。为鼓励技术创新,赞助... 阅读全帖 |
|
d*********o
发帖数: 6388 | 10 http://it.sohu.com/20160921/n468847002.shtml
腾讯科恩实验室官方博客 19 日发布文章称该团队已经成功攻破了特斯拉电动车的安全
系统,并可以实现远程开启特斯拉电动车的天窗、车门以及在行驶中启动刹车。这是全
球范围内第一次通过安全漏洞,无物理接触远程成功攻入特斯拉车电网络,并实现对特
斯拉进行任意的车身和行车控制。
该团队在这篇文章中附加的视频显示,科恩实验室的研究员分别从三种场景中对两辆特
斯拉 Model S 电动车进行了攻击。
在第一个场景中,研究员在距离特斯拉 10 米左右的地方通过手里的笔记本电脑开启了
特斯拉的天窗、转向灯,并实现了对座椅的控制;第二个场景是研究员趁车主开启网络
查找充电桩的 1 分钟左右的时间里控制了特斯拉的车内大屏,并用科恩实验室的 Logo
“占领”了屏幕,而此时车主无法手动对屏幕进行任何控制。另外,研究员还通过远
程控制开启了特斯拉的车门。
第三个场景是在特斯拉的行驶过程中,坐在前排副驾驶座上的研究员分别实现了开启特
斯拉的雨刷、关闭后视镜和打开后备箱的控制,并通过与同事的远程合作让正在行驶的
特斯拉突然刹车... 阅读全帖 |
|
i***l
发帖数: 9994 | 11 所谓的mac没有病毒就是个以讹传讹的urban myth。每年的黑客大赛,基本上第一个被
攻陷的就是MacOSX,要么是其safari浏览器,要么是他的quicktime等等。。
要论安全性,windows 8的64位版本早就比APPLE的东西安全多了。Apple的东西,好多
都是吹牛逼marketing出来的,事实上根本不是那么回事。看看这句就知道了:“as
well as Apple's television commercials that trivialized the security built
into the competing Windows operating system.[3] At the time, there was a
widespread belief that, despite these public displays of vulnerabilities in
Apple products, OS X was significantly more secure than any other
competitors.”这个英文说的比较文雅,我给大家... 阅读全帖 |
|
发帖数: 1 | 12 网络安全专家表示,中国的间谍机构已指示本国黑客不要参加全球黑客大赛,而要向安
全部或涉事公司报告其发现的任何漏洞。北京方面目前正试图收紧对科技和信息的控制。
中国国家安全部下达这一指示之际,中国正在采取一种日益孤立主义的科技路线。专家
表示,这一指示意在扩大中国掌握的情报储备。
“显然这与本地控制有关。”美国网络情报公司Recorded Future联合创始人、首席执
行官克里斯托弗•阿尔伯格(Christopher Ahlberg)说,“漏洞可能是软件中的问
题,但它们也是在软件身上安后门的机会。”
此举是中国为确保对科技和信息的控制所采取的最新尝试。此前,中国还出台了一些措
施,包括《中国制造2025》(一项调整中国产业政策的计划),以及去年出台的、要求
外国企业在本地存储数据和允许中国安全机构监控数据的网络安全法。
这一指示还使得一些重要的参与者缺席一种全球流行的发现漏洞的方式。借助这种方式
,软件供应商可在漏洞遭网络犯罪分子利用前修补它们。
腾讯科恩实验室(Keen Security Lab of Tencent)隶属于中国科技巨头腾讯(Tencent)
,曾成功入... 阅读全帖 |
|
m*t
发帖数: 2464 | 13 原来第一个被洞穿不是IE9,是apple的。
http://www.cnbeta.com/articles/136836.htm
Pwn2Own战报:Safari/MacBook率先被洞穿
温哥华 - 一个来自法国的安全团队VUPEN在Pwn2Own黑客大赛启动当天就率先拿下将近
,他们攻击的目标是MacBook上已经经过完整补丁的的Mac OS X64位系统,他们利用自
行发现的Safari 0day漏洞建造了一个攻击网页成功洞穿系统,拿下最高权限。该漏洞
问题出在WebKit渲染引擎,这个三人团队很快拿走了15000美元奖金和被攻破的MacBook
Air 13寸电脑。 |
|
k****a
发帖数: 4944 | 14 在Pwn2Own黑客竞赛中,苹果Safari都是首个被攻破的浏览器。
2008年,Independent Security Evaluators首席安全分析师Charlie Miller在2分钟内
抢先攻破了Mac OS X上的Safari浏览器,赢得了这台笔记本以及10000美元奖金。
2009年,Independent Security Evaluators首席安全分析师Charlie Miller仅用了10
秒就拿下了Safari 4,作为奖赏,他获得了5000美元奖金和攻破的MacBook笔记本。
2010年,Independent Security Evaluators首席安全分析师Charlie Miller利用
Safari的漏洞率先拿下了一台MacBook Pro,并获得了10000美元奖金。
其实,为了备战Pwn2Own黑客竞赛,苹果在3月中旬为Safari浏览器发布补丁修复了16处
漏洞,不过仍然没有逃脱首个被攻破的命运。
Mac OS X就像位于乡下的一间未上锁的农舍,
Windows则是处于治安较差城镇中的一所仅仅窗户装有栅栏的房间。
在苹果用户的心中,他们不存 |
|
|
S*********4
发帖数: 5125 | 16 特斯拉被中国大陆“白帽”首破 可远程控制驾驶(图)
文章来源: 中华网财经 于 2014-10-24 10:27:15 - 新闻取自各大新闻媒体,新闻内容
并不代表本网立场!
打印本新闻 (被阅读 13106 次)
1
Tesla Model S P85 官方指导价85.25万
如果一辆在高速公路上飞驰的特斯拉突然“自己”急刹车,由前进改成倒退,被黑客掌
控进入“无人驾驶”状态,向一片悬崖冲去,试想将会发生怎样的可怕后果?
10月24日上午,GeekPwn大会现场KeenTeam与V2S研究团队展示了他们的最新成果——全
球首次攻破特斯拉。
当GeekPwn主办方KeenTeam安全研究团队负责人王琦预告接下来将为大家展示无人驾驶
特斯拉时,即便是台下来自世界各地的大牛评委,都露出惊讶的表情,因为他们知道完
成这样的挑战有多么困难,选手区的观众更是睁大眼睛深怕错过见证历史性的时刻。
为确保破解展示的真实性,王琦随机邀请一名观众上台亲手操作,过一把电影《黄金眼
》中007的瘾,让观众用自己手机上的微信操控特斯拉汽车实现“无人驾驶”。
随着观众按下手机中特斯拉汽车的车轮图标,一直正向行驶的... 阅读全帖 |
|
k****u
发帖数: 1686 | 17 揭秘中国黑客:年薪数百万元 出现明显断层
2015-04-27 10:08:00 来源: 中国经济网(北京)
分享到:
3
据经济观察报消息,在网络世界有专属的代号,那里才是他们最习惯的“世界”。
作为360Vulcan黑客团队的领头人,“MJ0011”最终还是决定不把他的“战利品”放在
360公司的历史荣誉展览室里。一拿到全球最知名的黑客大赛—Pwn2Own的冠军,公司的
几位老板就下命令式地要求他把决赛中所使用的那部电脑给“贡献”出来。
他还真是非常认真地跟团队的成员商量过这件事,但大家太低调,都不作回应。这群跟
“MJ0011”一样的人,在网络世界都有着一个专属于自己的虚拟代号,那里才是他们最
习惯的“世界”,所以久而久之,真实的名字似乎都没那么重要了。大师级人物住小黑屋
2010年,那时安全人员的行业平均月薪只有三到五千元。因此,美国知名的杀毒巨头
McAfee从2005年开始,就疯狂挖角中国的黑客人才,他们开出的薪水在当时看来非常夸
张:年薪30万元,可这比国外的行业水平还是低不少。
国内最知名的安全团队Keen Team的负责人王琦,在2007年时是微软中国安全响应中心
的... 阅读全帖 |
|
|
|
f******t
发帖数: 19544 | 20 在加拿大温哥华举行的Pwn2Own世界黑客大赛排名中,中国360、腾讯、长亭科技3家
公司派出的团队包揽前三名。此次大赛于15日开幕,为期3天。中国、德国、美国等11个
国家和地区派出团队参加比赛。
黑客挑战赛由美国网络安全研究组织ZDI等机构主办,谷歌、微软、苹果、Adobe等
互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。从技术角度
讲,这些参赛黑客被称为“白帽”,意为软件系统安全研究人员,被视为维护网络和计算
机安全的主要力量。
本届赛事由5大类别、15个项目构成,项目设置数量和奖金均为历届最高,来自中国
、德国、美国等11个国家和地区的团队参赛。大赛规定,每一项目根据难度等级设置相
应积分和奖金,全部赛程结束后,积分最高团队将赢得“破解大师”冠军称号。
本届赛事中,微软、奥多比、乌班图等软件公司旗下软件被黑客团队破解。其
中,中国团队在比赛中表现抢眼。 |
|
b********n
发帖数: 38600 | 21 When China hoards its hackers everyone loses
https://www.yahoo.com/news/china-hoards-hackers-everyone-loses-204500774.
html
China's hackers routinely win, sweeping the board -- notably, the Tencent
and Keen teams. Pwn2Own is good-natured, and all in the name of researchers
finding big bugs, nabbing great bounties and drawing attention to security
holes and zero-days that need to be fixed. |
|
C**E
发帖数: 2573 | 22 【 以下文字转载自 Military 讨论区 】
发信人: Shotgun1984 (喷子), 信区: Military
标 题: 特斯拉被中国大陆“白帽”首破 可远程控制其冲下悬崖
发信站: BBS 未名空间站 (Fri Oct 24 15:38:55 2014, 美东)
特斯拉被中国大陆“白帽”首破 可远程控制驾驶(图)
文章来源: 中华网财经 于 2014-10-24 10:27:15 - 新闻取自各大新闻媒体,新闻内容
并不代表本网立场!
打印本新闻 (被阅读 13106 次)
1
Tesla Model S P85 官方指导价85.25万
如果一辆在高速公路上飞驰的特斯拉突然“自己”急刹车,由前进改成倒退,被黑客掌
控进入“无人驾驶”状态,向一片悬崖冲去,试想将会发生怎样的可怕后果?
10月24日上午,GeekPwn大会现场KeenTeam与V2S研究团队展示了他们的最新成果——全
球首次攻破特斯拉。
当GeekPwn主办方KeenTeam安全研究团队负责人王琦预告接下来将为大家展示无人驾驶
特斯拉时,即便是台下来自世界各地的大牛评委,都露出惊讶的表情,因为他们知道完
成这... 阅读全帖 |
|
C**E
发帖数: 2573 | 23 【 以下文字转载自 Military 讨论区 】
发信人: Shotgun1984 (喷子), 信区: Military
标 题: 特斯拉被中国大陆“白帽”首破 可远程控制其冲下悬崖
发信站: BBS 未名空间站 (Fri Oct 24 15:38:55 2014, 美东)
特斯拉被中国大陆“白帽”首破 可远程控制驾驶(图)
文章来源: 中华网财经 于 2014-10-24 10:27:15 - 新闻取自各大新闻媒体,新闻内容
并不代表本网立场!
打印本新闻 (被阅读 13106 次)
1
Tesla Model S P85 官方指导价85.25万
如果一辆在高速公路上飞驰的特斯拉突然“自己”急刹车,由前进改成倒退,被黑客掌
控进入“无人驾驶”状态,向一片悬崖冲去,试想将会发生怎样的可怕后果?
10月24日上午,GeekPwn大会现场KeenTeam与V2S研究团队展示了他们的最新成果——全
球首次攻破特斯拉。
当GeekPwn主办方KeenTeam安全研究团队负责人王琦预告接下来将为大家展示无人驾驶
特斯拉时,即便是台下来自世界各地的大牛评委,都露出惊讶的表情,因为他们知道完
成这... 阅读全帖 |
|
n********8
发帖数: 21 | 24 Tesla can be controlled remotely by some body not in the car
特斯拉 可远程控制驾驶
如果一辆在高速公路上飞驰的特斯拉突然“自己”急刹车,由前进改成倒退,被黑客掌
控进入“无人驾驶”状态,试想将会发生怎样的可怕后果?
10月24日上午,GeekPwn大会现场KeenTeam与V2S研究团队展示了他们的最新成果——全
球首次攻破特斯拉。
当GeekPwn主办方KeenTeam安全研究团队负责人王琦预告接下来将为大家展示无人驾驶
特斯拉时,即便是台下来自世界各地的大牛评委,都露出惊讶的表情,因为他们知道完
成这样的挑战有多么困难,选手区的观众更是睁大眼睛深怕错过见证历史性的时刻。
为确保破解展示的真实性,王琦随机邀请一名观众上台亲手操作,过一把电影《黄金眼
》中007的瘾,让观众用自己手机上的微信操控特斯拉汽车实现“无人驾驶”。
随着观众按下手机中特斯拉汽车的车轮图标,一直正向行驶的特斯拉车轮第一时间开始
极速反方向旋转,而车中并无驾驶员。“如果我们愿意,甚至可以远程让特斯拉熄火,
进入完全失控的状态。”王琦补充道。
演示最后,王... 阅读全帖 |
|
R*R
发帖数: 2661 | 25 你看的都是大妈网站,面对的是没有任何计算机知识的大众,信息大而全却不准确。你
的测评,都是些小编的观点,opinions而已。
你看看专业的黑客大赛结果,事实说话:
http://www.extremetech.com/computing/178587-firefox-is-still-th
Firefox is still the least secure web browser, falls to four zero-day
exploits at Pwn2Own
建议你稍微了解一下浏览器的工作原理和不同浏览器的设计基础,你就会明白为什么FF
是现在现实使用中最不安全的浏览器。
我以前一直用FF,觉得它是open source的,应该安全。但是它现在的架构早已经落后
,连IE都早早有了sandboxing的机制。你读一下我链接里的读者评论,那些人不少都是
geek类别的。
什么是最好的浏览器?我认为如果它不安全,那么其他的都是浮云。以前我是FF用的多
,现在都是用chrome了,FF以经被我卸载。 |
|
R*R
发帖数: 2661 | 26 Firefox’s weaker security is generally attributed to its lack of a sandbox
— a shell or firewall around a piece of software that keeps it segregated
from the rest of the operating system. In theory, the sandbox should prevent
the browser from running other programs, reading the contents of your RAM,
or opening other files. Chrome, Safari, and Internet Explorer (newer
versions) all have a sandbox, while Firefox does not. In short, if someone
finds a big enough vulnerability in Firefox, there’s no... 阅读全帖 |
|
k****a
发帖数: 4944 | 27 今天举行的Pwn2Own黑客大赛中,两名欧洲黑客仅用20秒的时间便成功攻破iPhone,并
拿走了1.5万美元奖金。 |
|
i***1
发帖数: 668 | 28 Security firm claims to have hacked Chrome's sandbox
It didn't manage to do it during the most recent Pwn2Own challenge, but
VUPEN Security is now claiming that it has finally managed to hack
Google's Chrome browser and crack its so-called "sandbox." According to
the firm, the exploit relies on some newly discovered zero day
vulnerabilities, works on all Windows operating systems (and only Windows,
apparently), and could give malicious websites the ability to download
code from a remote source a... 阅读全帖 |
|
h***o
发帖数: 1494 | 29 导语:《福布斯》杂志网络版今天刊文称,谷歌周三宣布推出Chromebook笔记本,这将
对反病毒行
业造成冲击。
以下为文章全文:
谷歌表示,Chromebook“内建了安全功能,因此用户将无需购买并维护反病毒软件
”。苹果和甲
骨文此前也曾进行过类似的宣传,但最终并未能实现这一目标。然而,谷歌此次的做法
有所不同。谷
歌推出的产品非常简单,因此安全软件和信息安全厂商有可能被边缘化。
Chromebook在本地仅仅运行一个浏览器。除非对Chromebook进行破解,否则用户无
法安装可
执行文件,包括杀毒软件,以及杀毒软件针对的恶意软件。如果这一基于网络的策略能
够收效,那么
McAfee、赛门铁克、卡巴斯基和趋势科技等公司将面临严峻的挑战。
Independent Security Evaluators的研究人员查理·米勒(Charlie Miller)自今
年2
月开始就使用Chromebook,当时这款笔记本被当作免费赠品提供给Pwn2Own黑客大赛的
获胜者。米
勒没有深入研究Chromebook的安全性,但他表示,从理论上来看,基于网络的安全模式
能够收效。
尽管黑客有可能利... 阅读全帖 |
|
n**u
发帖数: 6997 | 30 新浪科技讯 北京时间3月25日上午消息,据国外媒体报道,在网络安全大会CanSecWest
周三举行的Pwn2Own全球黑客大赛中,两名欧洲黑客仅用20秒的时间便成功攻破iPhone
,并拿走了1.5万美元奖金。
20秒黑掉iPhone
这两名黑客名为文森佐·埃奥佐(Vincenzo Iozzo)和拉尔夫·温曼(Ralf Weinmann
)。他们利用了一种尚未透露的方法对iPhone的Safari浏览器进行攻击,从而控制了
iPhone,随后又运行了一个程序,将这款 iPhone的短信发送到了一个网络服务器中。
据悉,这是苹果2008年发布iPhone 2.0操作系统以来,这款手机首次被攻破。苹果
针对iPhone 2.0推出了一系列高端安全措施,包括在设备核心中整合“沙盒”(sandbox
),该技术可以对黑客攻击起到限制作用。除此之外,苹果还增加了加密签名机制,从
而增加了黑客的攻击难度 |
|
|
x*********s
发帖数: 5554 | 32 http://www.cnbeta.com/articles/136836.htm
温哥华 - 一个来自法国的安全团队VUPEN在Pwn2Own黑客大赛启动当天就率先拿下将近
,他们攻击的目标是MacBook上已
经经过完整补丁的的Mac OS X64位系统,他们利用自行发现的Safari 0day漏洞建造了
一个攻击网页成功洞穿系统,拿下最
高权限。该漏洞问题出在WebKit渲染引擎,这个三人团队很快拿走了15000美元奖金和
被攻破的MacBook Air 13寸电脑。 |
|
|
i***1
发帖数: 2534 | 34 http://www.net-security.org/secworld.php?id=11001
French security firm VUPEN has announced that its researchers have managed
manufacture an exploit able to bypass Google Chrome's sandbox, ASLR and DEP.
It is precisely the sandbox feature what made hackers eschew or fail in
their attacks directed at Chrome at Pwn2Own time and time again - since, as
researcher Charlie Miller pointed out, it has a "sandbox model that's hard
to get out of". The feature is also what secured its reputation as the most... 阅读全帖 |
|
f*******5
发帖数: 10321 | 35 上个月的pwn2own就把 IE10/Surface Pro给破了. |
|
d***a
发帖数: 13752 | 36 你说的那个Pwn2Own黑客大赛,第一届只有Macbook可以Hack吧。
不是OS X有多好,是曾经的Windows名声实在太恶劣。早期的Windows,是没有安全性可
言的。90年代的Windows是不设防的OS,病毒可以乱改OS代码和数据。Windows到了
Windows 7和Windows 8,确实比以前安全多了,可给人的留下印象还没有消除。
相比之下,Unix类OS的安全性一直不错,包括Solaris, IRIX,Linux, FreeBSD,OS X
等。在消费者级用户中,OS X是用得最多的。
Unix类系统一样也有安全漏洞,但总的来说还是很安全的。Unix一开始是一种服务器上
用的OS。那时的机器是给几十上百人同时用的,安全性是第一考虑。
in |
|
c*********k
发帖数: 4747 | 37 Pwn2Own中safari firefox ie8都被黑,只有chrome没有。
opera不在其中。
我也好几年不用opera了。 |
|
a*******i
发帖数: 11664 | 38 TippingPoint第三届Pwn2Own黑客大会激战正酣,Apple's Safari, Mozilla's Firefox
和Microsoft's Internet Explorer 8
昨日已全部全部阵亡。值得注意的是,Chrome是唯一一个至今坚挺的浏览器。Mitbbs.
com
传说中的苹果Safari杀手Charlie Miller近照Mitbbs.com
黑客Nils率先攻破IE8浏览器,但是值得注意的是,微软MSRC团队在12小时里就对该漏
洞做出了反应,并表示将在近期发
表安全补丁。以下是现场图像:Mitbbs.com
First winner of the day Charlie Miller (left) breaks Safari while
TippingPoint judge Aaron Portnoy officiates
Mitbbs.com
Charles Miller is a computer security researcher with the consulting firm
Independent Security Evaluators |
|
