Pwn2Own是一個安全研究人員的大會,只要在一天內成功入侵電腦即可獲得現金和硬件大獎。Windows 7上的IE8、Windows 7上的Firefox 3、Mac OS X 10.6上的Safari 4和iPhone OS 3都在這次比賽中落馬。唯有Google的Chrome保持不敗金身──實際上,根本沒有人在比賽中試圖入侵Chrome。
iPhone在去年并沒有被成功入侵,但是今年卻落馬了。德國Zynamics公司的Vincenzo Iozzo和盧森堡大學的博士后Ralf-Philipp Weinmann利用Safari的漏洞通過短信直接獲得了控制權。
Peter Vreugdenhil成功入侵了IE8,它還發表了繞過DEP和ASLR保護的簡單方法和視頻。
對Safari的入侵來自Charlie Miller,他已經連續三年成功拿下Safari了。
可惜的是對Firefox的入侵方法沒有被披露。另外,Opera再一次被滑膩膩滴忽略鳥~~~~
不管是iPhone還是IE8的入侵都逃過了操作系統提供的沙盒。如果擾不過沙盒的話,漏洞的影響就會降低甚至被阻止,比如寫入硬盤這個惡意軟件常用的操作,不過如果可以讀硬盤的話還是可以偷到數據。
Chrome的沙盒很好的保證了自己的金身,甚至沒有人想去入侵它。當然也不是說Chrome就沒有安全問題──在Pwn2Own比賽之前幾天Google發布了一個更新修復了大量安全問題,有些是非常高危級別的。當然,Google的沙盒也并不是堅不可摧的,但它確實有效的阻止了入侵。
