Mobile Pwn2Own 2017:趋势科技颁出51.5万美元奖金
东京举行的2017移动Pwn2Own大会上,展现了Pwn2Own竞赛史上最长漏洞利用链,安全研究人员采用11个不同漏洞在三星Galaxy S8系统中执行代码。
11月2日,今年移动Pwn2Own黑客竞赛的第二天,大波漏洞利用涌现,包括Pwn2Own史上最长漏洞利用链。
2017移动Pwn2Own大赛于11月1日至2日在日本东京举行,披露了32个漏洞,涉及苹果、三星和华为的移动设备。为期2天的赛事结束,主办方趋势科技的零日计划(ZDI)共颁出了51.5万美元的奖金。ZDI已私下向受影响厂商通报了所有这些漏洞,以便问题能得到修复。
大赛亮点之一,是MWR实验室演示针对三星Galaxy S8及其默认浏览器的超复杂漏洞利用。MWR实验室共用了Galaxy S8上6个应用中的11个不同漏洞,得以在该设备上执行任意代码,并渗漏潜在敏感数据。该漏洞利用的驻留功能之强,即使设备重启也不受影响。ZDI为整个漏洞利用链颁给了MWR实验室2.5万美元。
MWR实验室还攻击了华为Mate9 Pro手机上的谷歌(Chrome)浏览器。研究人员使用了5个逻辑漏洞来绕过Chrome浏览器的沙箱,然后渗漏数据。就此华为漏洞利用,MWR实验室又赢得一笔2.5万美元奖金。
苹果的iPhone 7是本次大赛首日的主要目标,但到了竞赛第2天,这款手机又出现在了目标列表中。第1天的比赛里,腾讯科恩安全实验室(Keen Security Lab),独立安全研究员理查德·朱,都演示了针对该款手机的新零日漏洞利用。
第2天的比赛中,奇虎360安全团队盯上了装有 iOS 11.1的 iPhone 7,成功利用了该移动设备上的2个漏洞。其中1个漏洞存在于浏览器中,另一个,是让研究人员得以利用Safari浏览器的iOS系统服务漏洞。奇虎360安全以这整个漏洞利用链,获得了ZDI颁发的2.5万美元奖金。
蜂窝基带第2个零日漏洞利用也在大赛第2天出现。基带,是管理蜂窝设备上所有无线电功能的组件。第1天的赛事中,腾讯科恩安全实验室,就成功演示了华为Mate9 Pro基带漏洞利用。第2天,昵称“Acez”的一名研究员,展示了三星 Galaxy S8 智能手机的基带漏洞,利用栈缓冲区溢出错误来执行代码。Acez获得了5万美元的漏洞奖励。
2天的安全漏洞利用过后,51.5万美元奖金被颁出,比2016年移动Pwn2Own大赛的21.5万美元奖金翻了一倍不止。
两天比赛最终结果
Pwn2Own大赛移动版是今年的第2场Pwn2Own,跟在3月份在加拿大温哥华举行的桌面和服务器版之后。那场Pwn2Own盛会上,ZDI共为51个零日漏洞颁出了82.3万美元的奖金。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平同马克龙、冯德莱恩举行会晤 4988177
- 2 日本造出全球首个高速6G无线设备 4939138
- 3 英国635斤男子去世 埋葬需两块墓地 4822343
- 4 “五一”假期开启“韵味”旅游季 4725738
- 5 大连一烤肉店用玉米粒作燃料 4626691
- 6 淘宝回应大量用户被免单 4512265
- 7 上海现付费马桶圈充1000用13.8万次 4418471
- 8 太阳耀斑会影响正常生活吗 4322437
- 9 官方辟谣凉山最落后山村不通电 4203119
- 10 男子归还5台被吹落的表演用无人机 4144538