2014黑客奥斯卡奖Pwnie Awards提名名单公布
正在沙漠赌城拉斯维加斯举行的黑帽大会,黑客奥斯卡奖Pwnie的提名名单已经公布,评委们正在一个秘密的地方投票。将于当地时间8月6日下午6:30公布最终获奖名单(北京时间8月7日早上9:30)。请关注微信个人订阅号“辛巴达历险记”(或搜索sinbadlxj)帮我增加粉丝数量,大家明天上班时可以自己上网pwnies.com看结果:)
最佳服务器端漏洞
1,Abusing JSONP with Rosetta Flash (CVE-2014-4671)
Adobe Flash Player处理SWF文件引入的CSRF漏洞。
2,Heartbleed (CVE-2014-0160)
OpenSSL心脏滴血漏洞。Codenomicon为此漏洞设计了LOGO和网站,感谢该公司的推波助澜让大家在4月份疯狂加班。
3,IPMI: Sold Down the River
服务器带外管理接口的漏洞,全球有25万服务器把此接口暴露在互联网上任人蹂虐,NSA再也不用花巨资研发和植入后门了。
4,Embedded Device Hacking
关于嵌入式设备黑客的一个博客:/dev/ttyS0,有些公司恨死他了。
最佳客户端漏洞
1,Google Chrome Arbitrary Memory Read Write Vulnerability (CVE-2014-1705)
谷歌浏览器Chrome的任意内存读写漏洞。
2,Heartbleed (CVE-2014-0160)
还是OpenSSL心脏滴血漏洞,客户端,比如Andriod手机,也受影响的。
3,Pwn4Fun Safari vulnerability (CVE-2014-1300)
苹果浏览器Safari的溢出漏洞。
4,Goto Fail (CVE-2014-1266)
苹果操作系统没有好好检查TLS证书,因为goto语句用乱了。大学时学C语言,老师就经常教育少用goto!
最佳提权漏洞
1,AFD.sys Dangling Pointer Vulnerability (CVE-2014-1767)
Windows上的内核级漏洞绕过Windows 8.1上的IE11沙箱。
2,VirtualBox VM Breakout using 3D Acceleration (CVE-2014-0981)
虚拟机上的3D加速功能存在漏洞可以逃逸到宿主机。
3,Linux Futex Bug (CVE-2014-3153)
Linux内核漏洞,三星Galaxy S5和很多Linux发行版受影响。
4,evasi0n iOS 7.0 jailbreak
iOS7.0越狱,授予: evad3rs,连续使用了4个利用代码。
5,Pangu iOS 7.1 Jailbreak
iOS7.1越狱,授予:中国的盘古,树人Stefan Esser,还有或许其它人。漏洞很难溯源,树人宣称部分漏洞来自他的iOS培训课程,但是谁知道谁也有同样的漏洞呢?
最具创新性研究
1,Hardware-assisted Memory Corruptions
授予德国的硬件黑客Ralf-Philipp Weinmann,他主要搞ARM芯片漏洞研究。
2,Bypassing Windows 8.1 Mitigations using Unsafe COM Objects
是一个绕过微软安全机制的研究,授予James Forshaw,第一个获得了微软10万美元奖金。
3,RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis
在电脑旁放一个手机,或者4米外放一个高灵敏麦克风,通过听CPU计算时产生的声音,破解4096位RSA密钥。
4,Windows 8 UEFI Secure Boot Bypasses
Intel和MITRE共同研究出Win8安全启动绕过。
5,Hacking Blind
Blind ROP远程溢出技术。
响应最烂的厂商
1,OpenCart PHP Object Injection Vulnerability
漏洞发现者和厂商代表在GitHub上吵架,没事不要去围观。
2,Fired, I? 就是FireEye
故事比较复杂,有人发现了FireEye某产品漏洞,被所在公司开除的事情。
3,AVG Remote Administration Insecure "By Design"
厂商宣称这个漏洞在设计时就是这样的,CTO说:"This is by design",比修复它省事多了。
4,General Motors
通用汽车点火开关存在故障召回事件,这个缺陷不是通用汽车或政府相关部门公布的,而是律师在一次致死交通事故起诉通用公司案件中发现。通用CEO在听证会时,议员问她,你在通用33年从来没听说过点火开关存在故障吗?在没有实质性的回答后,议员告诉CEO:“You don't know anything about anything”。汽车安全将会越来越重要,因为汽车运行的软件可被远程攻破了,欢迎来到爆炸的物联网时代。
最经典输家
1,Goto Fail
苹果工程师的C语言可能是语文老师教的。
2,Heartbleed
开源社区的失败。
3,Target Breach
美国零售商店Target入侵案。FireEye检测到了,通知了Target的安全运维中心SOC,然后呢?
4,(ISC)2 Optional Membership Fee
(ISC)2网站漏洞会员续费漏洞。有谁认识一些信息安全专家,给这个非营利组织一些无偿的帮助?(高级黑!)
最经典破坏
1,Heartbleed (CVE-2014-0160)
审美疲劳了。
2,Target Breach
史上最大的信用卡数据泄露案。
3,Inputs.io
一百二十万美元的入侵案件证明了你不要在网上保存比特币。
4,Mt. Gox
世界上最大的比特币交易平台宣称被黑客入侵,数亿美元丢失,是不是监守自盗呢?
英文原文链接:
http://pwnies.com/nominations/
最佳服务器端漏洞
1,Abusing JSONP with Rosetta Flash (CVE-2014-4671)
Adobe Flash Player处理SWF文件引入的CSRF漏洞。
2,Heartbleed (CVE-2014-0160)
OpenSSL心脏滴血漏洞。Codenomicon为此漏洞设计了LOGO和网站,感谢该公司的推波助澜让大家在4月份疯狂加班。
3,IPMI: Sold Down the River
服务器带外管理接口的漏洞,全球有25万服务器把此接口暴露在互联网上任人蹂虐,NSA再也不用花巨资研发和植入后门了。
4,Embedded Device Hacking
关于嵌入式设备黑客的一个博客:/dev/ttyS0,有些公司恨死他了。
最佳客户端漏洞
1,Google Chrome Arbitrary Memory Read Write Vulnerability (CVE-2014-1705)
谷歌浏览器Chrome的任意内存读写漏洞。
2,Heartbleed (CVE-2014-0160)
还是OpenSSL心脏滴血漏洞,客户端,比如Andriod手机,也受影响的。
3,Pwn4Fun Safari vulnerability (CVE-2014-1300)
苹果浏览器Safari的溢出漏洞。
4,Goto Fail (CVE-2014-1266)
苹果操作系统没有好好检查TLS证书,因为goto语句用乱了。大学时学C语言,老师就经常教育少用goto!
最佳提权漏洞
1,AFD.sys Dangling Pointer Vulnerability (CVE-2014-1767)
Windows上的内核级漏洞绕过Windows 8.1上的IE11沙箱。
2,VirtualBox VM Breakout using 3D Acceleration (CVE-2014-0981)
虚拟机上的3D加速功能存在漏洞可以逃逸到宿主机。
3,Linux Futex Bug (CVE-2014-3153)
Linux内核漏洞,三星Galaxy S5和很多Linux发行版受影响。
4,evasi0n iOS 7.0 jailbreak
iOS7.0越狱,授予: evad3rs,连续使用了4个利用代码。
5,Pangu iOS 7.1 Jailbreak
iOS7.1越狱,授予:中国的盘古,树人Stefan Esser,还有或许其它人。漏洞很难溯源,树人宣称部分漏洞来自他的iOS培训课程,但是谁知道谁也有同样的漏洞呢?
最具创新性研究
1,Hardware-assisted Memory Corruptions
授予德国的硬件黑客Ralf-Philipp Weinmann,他主要搞ARM芯片漏洞研究。
2,Bypassing Windows 8.1 Mitigations using Unsafe COM Objects
是一个绕过微软安全机制的研究,授予James Forshaw,第一个获得了微软10万美元奖金。
3,RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis
在电脑旁放一个手机,或者4米外放一个高灵敏麦克风,通过听CPU计算时产生的声音,破解4096位RSA密钥。
4,Windows 8 UEFI Secure Boot Bypasses
Intel和MITRE共同研究出Win8安全启动绕过。
5,Hacking Blind
Blind ROP远程溢出技术。
响应最烂的厂商
1,OpenCart PHP Object Injection Vulnerability
漏洞发现者和厂商代表在GitHub上吵架,没事不要去围观。
2,Fired, I? 就是FireEye
故事比较复杂,有人发现了FireEye某产品漏洞,被所在公司开除的事情。
3,AVG Remote Administration Insecure "By Design"
厂商宣称这个漏洞在设计时就是这样的,CTO说:"This is by design",比修复它省事多了。
4,General Motors
通用汽车点火开关存在故障召回事件,这个缺陷不是通用汽车或政府相关部门公布的,而是律师在一次致死交通事故起诉通用公司案件中发现。通用CEO在听证会时,议员问她,你在通用33年从来没听说过点火开关存在故障吗?在没有实质性的回答后,议员告诉CEO:“You don't know anything about anything”。汽车安全将会越来越重要,因为汽车运行的软件可被远程攻破了,欢迎来到爆炸的物联网时代。
最经典输家
1,Goto Fail
苹果工程师的C语言可能是语文老师教的。
2,Heartbleed
开源社区的失败。
3,Target Breach
美国零售商店Target入侵案。FireEye检测到了,通知了Target的安全运维中心SOC,然后呢?
4,(ISC)2 Optional Membership Fee
(ISC)2网站漏洞会员续费漏洞。有谁认识一些信息安全专家,给这个非营利组织一些无偿的帮助?(高级黑!)
最经典破坏
1,Heartbleed (CVE-2014-0160)
审美疲劳了。
2,Target Breach
史上最大的信用卡数据泄露案。
3,Inputs.io
一百二十万美元的入侵案件证明了你不要在网上保存比特币。
4,Mt. Gox
世界上最大的比特币交易平台宣称被黑客入侵,数亿美元丢失,是不是监守自盗呢?
英文原文链接:
http://pwnies.com/nominations/关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
邮箱投递
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 推动西部大开发是一项世纪工程 4936257
- 2 中美达成五点共识 4986638
- 3 厦门教师招聘疑因取消编制无人报考 4898925
- 4 “巨龙”腾飞逐天宫 4735897
- 5 山西午睡文化已经不分物种了 4659064
- 6 赵雅芝辟谣去世后晒照 4549349
- 7 韩国N号房事件再现 4484206
- 8 阿根廷再次爆发大游行 4361293
- 9 网约车被路政追赶致2死1伤不实 4292350
- 10 京东员工误操作或致损失超百万 4111231
