PWN2OWN黑客大赛2009到底有哪些猛料？-阿里云资讯网
PWN2OWN黑客大赛2009到底有哪些猛料？
发布时间：
更新时间：
来源：网络
作者：fsoiuoio520
CanSecWest
【 独家报道】3月18日在温哥华举办的CanSecWest
如火如荼的开始之后，网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。51CTO也在之前为网友们提供了介绍和时间表，详情请见：“/art/
02/110496.htm”到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击？到底准备了那些猛料？我们
看以下来自51CTO记者的报道。PWN2OWN 2009在
多次讨论和研究之后，PWN20WN比赛的最终安排
：浏览器和联合测试的平台索尼VAIO - Windows 7（51CTO
按：去年也是索尼VAIO。）IE8 Firefox Chrome苹果机 - （这个不用说啥系统了吧）Safari Firefox第一天：默认不安装额外插件，用户去连接。第二天：安装flash, java, .net, quicktime。用户去连接。第三天：安装像Acrobat Reader那样的大众软件，用户去连接。任务？- 在应用程序的环境中执行代码。(51CTO编者按：提权溢出之类的)--------------------------------------------------------------------------------电话(和其他相关的测试平台)黑莓（TBA）谷歌Android手机（G1开发测试版）苹果iphone手机（2.0正式版）Nokia/Symbian（机型N95）Windows Mobile (宏达 Touch)第一天SMS 短信MMS 彩信Email 电子邮件（只看收取的）wifi 无线，如果默认开启的话bluetooth蓝牙，同上Radio 无线接收器第二天 电子邮件/短信/彩信(只可以读取-不可以有间接行为)无线保持启动蓝牙保持启动（默认不接受配对。耳机是配好的。配对过程不可见。）第三天在默认应用程序用户界面的一个层面蓝牙保持启动（默认不接受配对。耳机和满足以上要求的其他设备是配好的。配对过程不可见。）任务？必须去实现……1.造成信息丢失（用户数据）2.造成财务损失51CTO编辑观察：首先，对老外能举办这类真刀真枪测试产品的活动表示赞扬。大致看了一下，基本上国外顶尖安全厂商全部参与。这次的大赢家是德国人Nils，这哥们快把所有主流浏览器都破坏了个遍。成功收获15000美元和一台笔记本电脑。上届冠军Charlie Miller在10秒内拿下Safari，顺利收获5000美元和一台苹果笔记本。相对来说，智能手机的安全性还是比较经受考验的，没有出现30秒内被攻破的事情。事实证明，世界上并不存在绝对安全的浏览器，以前说什么用Firefox不会中毒这样的事情，很遗憾只是YY。这一年来Firefox的漏洞甚至超过其他浏览器的
，虽然它的修补速度够快。在51CTO记者截稿前，谷歌Chrome的表现似乎足够坚挺。但之前爆的漏洞也不少。笔者
暂时的未攻破有以下几点原因：1.相对Firefox和IE8、Safari之类浏览器来说，谷歌chrome本身的代码量就少，说是个精悍的浏览器内核都不为过。2.它真的是足够新了，目前还算是“非主流”（51CTO编者按：Windows默认IE，MAC默认Safari，Linux默认Firefox。Chrome虽系出名门，但要想雄霸一方尚需时日）其他浏览器都至少出了三代，它最近才出2.0beta，而且还已经是升的非常非常勤了。3.Google设计chrome的初衷就是，除了本地的管理员以外，
也可以不限使用。加上沙盒(sandbox)技术，让它的安全性显著提高，换句话说，即使发现了chrome的漏洞，骇客也只有很小的权限，无法造成很大的破坏。当然，黑客们找到Chrome
攻击方式只是时间问题，我们可以拭目以待。希望我们国家也能尽快出现此类活动，并对国内的信息安全研究给予支持和良好导向。这类活动不仅能为社会发掘更多的技术天才，更是能有效推进我国的信息安全产业发展。有攻才有防，有防才有保障。将更多的安全人才引向“白色产业链”，避免让更多的优秀人才戴上“黑帽”，这是好事，更是值得去做的事。【 独家报道，转载请注明出处及作者！】
本站所有文章全部来源于互联网，版权归属于原作者。本站所有转载文章言论不代表本站观点，如是侵犯了原作者的权利请发邮件联系站长（yanjing@），我们收到后立即删除。
FX168讯 外媒周五(3月13日)报道称，据知情消息人士透露，国际商业机器公司(IBM[微博])正考虑采用比特币技术--“区块链”(blockchain)，为主要货币创建一个数字现金和支付体系。 消息人士称，该计划的目标是让人们在没有银行或清算机构参与的情况下，使用该技术实现实时转账和支付，从而节约交易成本。交易可以记录在美元或欧元等特定货币账簿中。 该消息人士称，“当有人要在系统中进行交...
英国广播公司 BBC 日前推出了一项名为 Make it Digital 的计划，旨在推进英国的数字化进程。 作为该计划的一部分，BBC 将向全国的 11 岁孩子赠送一百万台类似树莓派（Raspberry Pi）的微型计算机，这些孩子今年秋季就要踏进中学校门。与此同时，BBC 还将举办一些编码相关活动。 BBC 此举意在提高年轻人的数字化技能，并填补这方面人才的空缺。据估计，未来五年内，英...
这两天，关于顶级黑客团队VUPEN退出Pwn2Own 2015的新闻在圈里传的沸沸扬扬。无论是VUPEN创始人本人，还是黑客圈内人士，对此的解释都是Pwn2Own 2015难度变大，奖金竟然还减少了。这太不科学。 Pwn2Own 2015的比赛规则究竟做了哪些调整，以至于VUPEN等赫赫有名的黑客团队都萌生退意呢？我们一起深入了解下。 Pwn2Own是什么？ Pwn2Own是世界上最著名的黑...
小米丶凡客丶雕爷牛腩丶皇太极煎饼，无数打着“互联网思维”的小公司0成本营销，逆袭大品牌，其“互联网味”的文案功不可没。 那么如何写一个互联网思维的文案呢？ 1，分解产品属性 互联网初创公司无不把产品分割成一个个独立属性。小米先是给我们普及了CPU丶GPU等，到了小米4，竟然开始给我们普及材料学知识—“小米4，奥体304不锈钢，8次CNC冲压成型”。 就连跟雷军取经的凡客陈年也不甘示弱，在...
电影《狼图腾》是一曲狼的赞歌，狼在生存中所体现的机智、团结和忍耐给人留下了深刻的印象。同样，《狼图腾》所阐述的狼的精神也给投资者留下了许多启示。给大家分享10条由《狼图腾》带来的投资启示，我们一起学习狼的“投资精神”。& 1、“尽管面对上万只的黄羊，面对凶猛的老虎，我们都毫不退缩。但是面对人类的枪口，适当的转移是明智的。我们不缺乏成功的信念，但是我们绝不是痴心妄想只会送死的傻瓜。”...
【TechWeb报道】3月13日消息，据国外媒体报道，Twitter近日正在测试电视时间线功能，以往Twitter的时间线一般会推荐新闻大事件、热点之类，但是将“电视”元素加入其时间线中则是首次。 据调查数据显示，当社交媒体更多地推荐某部电视时，至少有15%的电视观众会更加享受看电视这一过程。年龄在18周岁以上的成年人平均每天观看5个小时的电视节目。当我们看电视时，我们同时会在社交媒体平台上...当前位置&&&&&&&&&Pwn2Own黑客大赛：iPhone 20秒被黑
更多文章查询：&
Pwn2Own黑客大赛：iPhone 20秒被黑
&&&&&&&日11：00&&来源：&&
【文章摘要】　　据国外媒体报道，在网络安全大会CanSecWest周三举行的Pwn2Own黑客大赛中，两名欧洲黑客仅用20秒的时间便成功攻破iPhone，并拿走了1.5万美元奖金。
　　据国外媒体报道，在网络安全大会CanSecWest周三举行的Pwn2Own黑客大赛中，两名欧洲黑客仅用20秒的时间便成功攻破iPhone，并拿走了1.5万美元奖金。　　20秒黑掉iPhone　　这两名黑客名为文森佐?埃奥佐(Vincenzo Iozzo)和拉尔夫?温曼(Ralf Weinmann)。他们利用了一种尚未透露的方法对iPhone的Safari浏览器进行攻击，从而控制了iPhone，随后又运行了一个程序，将这款iPhone的短信发送到了一个网络服务器中。　　据悉，这是苹果2008年发布iPhone 2.0操作系统以来，这款手机首次被攻破。苹果针对iPhone 2.0推出了一系列高端安全措施，包括在设备核心中整合“沙盒”(sandbox)，该技术可以对黑客攻击起到限制作用。除此之外，苹果还增加了加密签名机制，从而增加了黑客的攻击难度。　　首位成功攻破iPhone的黑客查理?米勒(Charlie Miller)说：“iPhone 2.0发布后，这款设备的攻击难度增加了很多。”去年大赛中，iPhone就未被攻破。　　埃奥佐现年22岁，来自逆向工程技术公司Zynamics，温曼现年32岁，来自卢森堡大学。　　Win7和Mac相继告破　　在本届Pwn2Own黑客大赛上，荷兰独立黑客彼得?洛格丹希尔(Peter Vreugdenhil)也成功利用IE8的多个漏洞攻破了64位Winows 7操作系统，他因此获得了1万美元的奖金和一部Windows电脑。微软IE团队全程见证了洛格丹希尔的攻击过程。微软发言人表示，目前尚未获得细节信息，但等到大赛组委会搜集了攻击信息后，他们会尽快做出响应。　　而米勒也借助Safari浏览器的漏洞成功入侵了苹果MacBook。他通过特别设计的网站对Safari进行了攻击，并获取了MacBook的控制权。　　除此之外，谷歌Chrome和火狐浏览器以及黑莓、谷歌Nexus One和诺基亚E72等多款手机也被列为本次黑客大赛的攻击目标。
责任编辑：杨山山
&关于&Pwn2Own 网络安全大会&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议：010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号您所在的位置： &
PWN2OWN黑客大赛2009到底有哪些猛料？
PWN2OWN黑客大赛2009到底有哪些猛料？
3月18日黑客大赛如火如荼的开始之后，网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。51CTO也在之前为网友们提供了赛事安排表。到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击？到底准备了那些猛料？
【 独家报道】3月18日在温哥华举办的CanSecWest黑客大赛如火如荼的开始之后，网上出现了很多相关赛事的报道。如“”和“”等。51CTO也在之前为网友们提供了介绍和时间表，详情请见：“”
到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击？到底准备了那些猛料？我们来看看以下来自51CTO记者的报道。
PWN2OWN 2009
在经过多次讨论和研究之后，PWN20WN比赛的最终安排如下：
浏览器和联合测试的平台
索尼VAIO - Windows 7（51CTO编者按：去年也是索尼VAIO。）
IE8 Firefox Chrome
苹果机 - （这个不用说啥系统了吧）
Safari Firefox
第一天：默认不安装额外插件，用户去连接。
第二天：安装flash, java, .net, quicktime。用户去连接。
第三天：安装像Acrobat Reader那样的大众软件，用户去连接。
任务？- 在应用程序的环境中执行代码。(51CTO编者按：提权溢出之类的)
--------------------------------------------------------------------------------
电话(和其他相关的测试平台)
黑莓（TBA）
谷歌Android手机（G1开发测试版）
苹果iphone手机（2.0正式版）
Nokia/Symbian（机型N95）
Windows Mobile (宏达 Touch)
Email 电子邮件（只看收取的）
wifi 无线，如果默认开启的话
bluetooth蓝牙，同上
Radio 无线接收器
电子邮件/短信/彩信(只可以读取-不可以有间接行为)
无线保持启动
蓝牙保持启动（默认不接受配对。耳机是配好的。配对过程不可见。）
在默认应用程序用户界面的一个层面
蓝牙保持启动（默认不接受配对。耳机和满足以上要求的其他设备是配好的。配对过程不可见。）
任务？必须去实现……
1.造成信息丢失（用户数据）
2.造成财务损失
51CTO编辑观察：
首先，对老外能举办这类真刀真枪测试产品的活动表示赞扬。大致看了一下，基本上国外顶尖安全厂商全部参与。这次的大赢家是德国人Nils，这哥们快把所有主流浏览器都破坏了个遍。成功收获15000美元和一台笔记本电脑。上届冠军Charlie Miller在10秒内拿下Safari，顺利收获5000美元和一台苹果笔记本。相对来说，智能手机的安全性还是比较经受考验的，没有出现30秒内被攻破的事情。
事实证明，世界上并不存在绝对安全的浏览器，以前说什么用Firefox不会中毒这样的事情，很遗憾只是YY。这一年来，虽然它的修补速度够快。在51CTO记者截稿前，谷歌Chrome的表现似乎足够坚挺。但之前爆的漏洞也不少。笔者认为暂时的未攻破有以下几点原因：
1.相对Firefox和IE8、Safari之类浏览器来说，谷歌chrome本身的代码量就少，说是个精悍的浏览器内核都不为过。
2.它真的是足够新了，目前还算是“非主流”（51CTO编者按：Windows默认IE，MAC默认Safari，Linux默认Firefox。Chrome虽系出名门，但要想雄霸一方尚需时日）其他浏览器都至少出了三代，它最近才出2.0beta，而且还已经是升的非常非常勤了。
3.Google设计chrome的初衷就是，除了本地的管理员以外，普通用户也可以不限使用。加上沙盒(sandbox)技术，让它的安全性显著提高，换句话说，即使发现了chrome的漏洞，骇客也只有很小的权限，无法造成很大的破坏。
当然，黑客们找到Chrome新的攻击方式只是时间问题，我们可以拭目以待。
希望我们国家也能尽快出现此类活动，并对国内的信息安全研究给予支持和良好导向。这类活动不仅能为社会发掘更多的技术天才，更是能有效推进我国的信息安全产业发展。有攻才有防，有防才有保障。将更多的安全人才引向“白色产业链”，避免让更多的优秀人才戴上“黑帽”，这是好事，更是值得去做的事。
【 独家报道，转载请注明出处及作者！】
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&&&&&的更多文章
VPN技术应用的非常广泛，一般的企业当中都会要求技术人员来维护V
网友评论TOP5
维护网络信息安全也是每年全国两会保障工作的重要一环……
趋势科技诚邀各行业极富经验的CIO们参加本次“云计算
随着网络时代的飞速发展,网络安全问题越来越受大家的
黑帽大会每年都会在美国举行，当然别的地区也有分会，
本书是根据全国计算机技术与软件专业资格（水平）考试“网络工程师级考试大纲”编写的考试辅导用书。全书主体按考试大纲的章节编
51CTO旗下网站您的位置：
Pwn2Own黑客大赛攻破大多数主要浏览器
日 03:43:14　|　作者：胡杨编译　|　来源：网界网
摘要：一些安全研究人员上周四(3月13日)在黑客挑战赛Pwn2Own的第二天演示了攻击谷歌Chrome、微软IE、苹果Safari、Mozilla火狐和Adobe Flash Player等浏览器软件的零日攻击安全漏洞，总共获得45万美元奖金。
【网界网独家译稿】一些安全研究人员上周四(3月13日)在的第二天演示了攻击谷歌Chrome、微软IE、Safari、Mozilla火狐和Adobe Flash Player等软件的零日攻击，总共获得45万美元奖金。
法国安全漏洞研究公司Vupen的一个团队利用影响到WebKit和Blink渲染引擎中的一个释放后使用(use-after-free)安全漏洞攻破了谷歌Chrome浏览器。然后，这些安全研究人员成功地绕过Chrome浏览器的沙箱保护，在这个浏览器的底层系统执行任意代码。
黑客挑战赛Pwn2Own每年在温哥华举行的CanSecWest安全会议上举行一次。上周三，在这次竞赛的第一天，Vupen的那个团队还攻破了IE、火狐、Flash Player和Adobe Reader等软件。
另一个著名的研究人员上周四演示了Chrome浏览器的一个远程执行代码安全漏洞。但是，竞赛裁判宣布这个结果只是部分获胜，因为这个攻击的细节与早些时候谷歌自己举行的Pwnium黑客大赛中演示的一个安全漏洞类似。
著名的iPhone和PlayStation 3黑客George Hotz演示了攻击火狐浏览器的远程执行代码安全漏洞，使这次竞赛第四次攻破火狐浏览器。除了Vupen团队之外，安全研究人员JA1/4ri Aedla和Mariusz Mlynski在这次竞赛的第一天通过利用不同的安全漏洞也攻破了火狐浏览器。
研究人员Sebastian Apelt和Andreas Schmidt演示了攻击微软IE浏览器的一个基于浏览器的安全漏洞。这个安全漏洞是把两个释放后使用安全漏洞与一个Windows内核漏洞联系在一起以便打开Windows计算器应用，实施远程执行代码。
中国著名安全研究团队“Keen Team”的另一位研究人员Liang Chen(陈亮)把堆溢出安全漏洞与一个绕过沙箱的措施结合在一起实现了通过苹果Safari浏览器远程执行代码。他和team509团队的研究人员同事Zeguang Zhou(周泽光)然后演示了攻击Adobe Flash Player的远程执行代码安全漏洞。
在Pwn2Own竞赛中利用的全部安全漏洞都将与受影响的产品的厂商分享。
在这次竞赛的第二天和最后一天赢得的奖金达到了创纪录的85万美元。这不包括慈善捐赠或者研究人员在成功完成破解之后赢得的笔记本电脑的价值。
在另一个名为Pwn4Fun的黑客挑战赛中，谷歌的安全研究人员与主持Pwn2Own竞赛的惠普DVLabs零日计划(ZDI)团队的研究人员展开了竞赛。谷歌团队攻破了苹果Safari浏览器。ZDI团队通过把多个安全漏洞结合在一起攻破了微软IE 11浏览器。这次竞赛为加拿大红十字会筹集了82.5万美元善款。
[责任编辑：鹿宁宁 ]
正在加载...
我也说几句
汇编一周来国内外网络和IT行业发生的焦点新闻，精挑细选，第一时间推送独家采写的深度报道和热点专题，深入挖掘新闻事件背后的故事，剖析新闻事件的来龙去脉，让读者准确把握业界的发展态势。
汇集存储频道每周精华内容，让您在最短的时间内，以最便捷的方式获取权威的购买指南，专家博客，皆汇聚在此。
定期为您带来深入权威的网络，交换机，路由器，无线，通信领域信息服务，涵盖产品，技术，新闻，应用案例，评测,购买指南，专栏，技巧等多个方面的信息。与企业网络相关的一切，尽在网络通信邮件，您怎可错过？
新一代数据中心建设管理最新信息快递――聚焦新一代绿色数据中心的设计、建设、运营和管理，汇集业界专家与用户的最精粹观点，展示国内外数据中心经典案例！
定期为您带来安全领域权威专业的产品，技术，新闻，应用案例，评测，购买指南等信息，保护您在网络畅游之时不受病毒的威胁，企业运行之际减少安全的风险。一份邮件在手，一份安全在心！
深入、专业关注云计算相关的技术与实践，范围覆盖私有云建设、公有云服务运营、开源云平台发展、重要云服务商动态等领域，面向企业CIO和IT经理提供深度原创报道，以及云计算、云服务领域最新的市场资讯。
汇集软件频道每周精华内容，让您在最短的时间内，以最便捷的方式获取权威的企业软件新闻，SOA，SaaS，BI，ERP，开源技术，产品，技巧等全方面的实用资讯。还犹豫什么，这就开始体验一下吧！
深入、专业关注大数据相关的技术与实践，提供Hadoop、NoSQL等领域的最新技术资讯，定期发布由业界专家撰写的大数据专栏文章，面向企业CIO、IT经理、DBA提供深度原创报道，以及大数据领域的最新市场资讯。
汇集服务器频道每周精华内容，让您在最短的时间内，以最便捷的方式获取权威的服务器虚拟化，刀片服务器，操作系统，大型机，服务器芯片信息，最新最全的服务器技巧，购买指南，专家博客，皆汇聚在此。
网界网网络学院频道，内容涵盖移动互联，技术开发，Web前端，安全，网络通信，云计算，数据中心，存储，服务器，软件等内容。
订阅过的用户，全部取消选择，可取消订阅
热点排行周月
网络世界移动客户端网界网微信订阅号您所在的位置： &
2010年Pwn2Own黑客大赛将开战 高额奖金与0day引入入胜
2010年Pwn2Own黑客大赛将开战 高额奖金与0day引入入胜
鲜橙加冰(王文文)
去年的Pwn20wn黑客大赛，Safari的Macbook一分钟不到即被黑，而Chrome一战成名，从开赛到闭幕始终未被攻破。让IE、火狐、Safari等浏览器们羡慕的牙痒痒。高额奖金和一大堆0day让大家羡慕不已。那这次Pwn20wn 2010又给我们带来什么呢？
【 独家报道】去年的Pwn20wn黑客大赛，Safari的Macbook一分钟不到即被黑，而Chrome一战成名，从开赛到闭幕始终未被攻破。让IE、火狐、Safari等浏览器们羡慕的牙痒痒。高额奖金和一大堆0day让大家羡慕不已。那这次Pwn20wn 2010又给我们带来什么呢？
下面不妨和小编来看一下这次比赛的具体安排：
本次Pwn20wn比赛时间：美国当地时间3月24日-26日(二十四日之前两天会有培训等活动)
比赛地点：加拿大-温哥华
比赛项目：侵入浏览器和智能手机
总计奖金数额：100,000美元（浏览器4万，手机6万，不过鲜橙加冰本人估计6万那头会剩）
498)this.width=498;' onmousewheel = 'javascript:return big(this)' src="/files/uploadimg/4460.jpg">
传说中的苹果Safari杀手Charlie Miller近照
498)this.width=498;' onmousewheel = 'javascript:return big(this)' src="/files/uploadimg/4461.jpg">
这个标记表示“搞定！”
PC方面所参赛的四款浏览器：
Microsoft Internet Explorer 8 (Windows 7)
Mozilla Firefox 3(Windows 7)
Google Chrome 4 (Windows 7)
Apple Safari 4 (MacOS雪豹)
第一天，以上浏览器将会安装在打满补丁的操作系统上
××××××××××
Microsoft Internet Explorer 7 (Vista)
Mozilla Firefox 3 (Vista)
Google Chrome 4 (Vista)
Apple Safari 4 (MacOS雪豹)
第二天，以上浏览器会安装在老一些的操作系统上（还是雪豹？）
××××××××××
Mozilla Firefox 3 (Windows XP)
Google Chrome 4 (Windows XP)
Apple Safari 4 (MacOS雪豹)
第三天，以上浏览器会安装在更老一些的操作系统上
鲜橙加冰：关于很多人热衷讨论的Opera没有入选一事，可以把希望放在后面的智能手机入侵比赛上，一些手机会预装Opera浏览器。
智能手机方面所参赛的四款机型：
IPhone 3GS
Nokia Symbian S60 (预计将用E62做靶子，作为Nokia用户，我对此表示关注)
摩托罗拉 Android(预计将用Droid做靶子)
鲜橙加冰：话说，国内的安全厂商也可以搞一个类似的活动啊。之前安全焦点搞的大会不错，只可惜没比赛环节，如果能有这样的漏洞挖掘大战就更好了。
【 独家报道，转载请注明出处及作者！】
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&&&的更多文章
为更好地应对互联网安全挑战，交流最新的安全技术与解决方案，国
维护网络信息安全也是每年全国两会保障工作的重要一环……
随着移动设备与应用的激增，以及IEEE 802.11n 的广泛
Hillstone将于日至8月1日在上海、广州、成
棱镜的曝光，令美国颇为尴尬，不止因为棱镜项目本身，
本书是作者深入研究SQL Server 2005数据库体系结构和内部机制的经验总结。
全书不拘泥于具体的管理操作，而是通过对存储的数据
51CTO旗下网站