大片既视感,Pwn2Own 2018黑客大赛两日战况
Pwn2own 开始之前,宅客频道编辑就有预感,关于“某黑客在X秒钟之内破解XXX”的报道一定会蜂拥而至,果不其然。从主办方放出的战况视频看来,战况相当精彩,满满的大片既视感。
3月15-16日,2018 Pwn2Own 比赛落下帷幕,截至目前,主办方 Zero Day Initiative 已经为获奖者提供了金额为 267,000 美元的奖金 和 26 点数奖励,获得 5 个苹果漏洞、2 个 Oracle 漏洞、4 个微软漏洞以及1个 Mozilla 漏洞。
首位登台的选手是 Richard Zhu,但开局不利,他并未在规定时间内利用漏洞攻破 Safari 浏览器。
不过在Pwn2Own的舞台最不缺乏的便是意外与反转,Richard Zhu在随后的挑战赛中对微软 Edge 浏览器发起挑战,利用微软内核 EoP 通过两个 UAF 成功提权并运行执行代码,获得了70000美元奖励及7个Pwn点数。
而在第二天的挑战赛中,Richard Zhu愈战愈勇,利用 Windows 内核的 EoP 漏洞成功攻破 Mozilla Firefox 浏览器,赢得50000美元奖励以及5个Pwn点数。
接下来登台的是来自 phoenhex 团队的 Niklas Baumstark,针对 Oracle VirtualBox发起攻击,最终成功利用了部分漏洞,获得了 27000 美元奖励和3个Pwn点数。
首日最后挑战的是Samuel Groß,他成功利用 macOS 内核 Eop 漏洞对 Apple Safari 浏览器进行破解,赢得了 65,000 美元的奖励和6个Pwn点数。
在第二天的比赛中,来自 Ret2 Systems 公司的三位研究员 Markus Gaasedele、Nick Burnett 和 Patrick Biernat 登台演示,他们利用 macOS 内核提升特权漏洞来攻击 Safari。
不过在演示中途出现了一些意外,直到第四次尝试才真正利用漏洞实现破解,按照比赛规则只允许三次尝试,所以这算作失败。
另一支破解团队来自 MWR 实验室,三位研究员 Alex Plaskett、Georgi Geshev 和 Fabi Beterke 上台演示,通过两个漏洞击破了 Safari 浏览器的沙盒模式,一个是浏览器中的堆缓冲区溢出漏洞,另一个是 macOS 的未初始化的堆栈变量漏洞。他们获得了55000美元及5个Pwn点数。
为期两天的 Pwn2own 既有破解成功的骄傲欣喜,也有破解失败的遗憾感叹。以下为 Pwn2Own 2018 大赛最终排名,Richard Zhu在两天比赛中赢得12万美元奖金以及12个Pwn点数,获得破解之王。
雷锋网宅客频道招人了!
招聘岗位:
网络安全编辑(采编岗)
工作内容:
主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;针对不同发布渠道,策划不同类型选题;参与打理宅客频道微信公众号等。
岗位要求:
对网络安全有兴趣,有相关知识储备或从业经历更佳;
科技媒体1-2年从业经验;
有独立采编和撰写原创报道的能力;
加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……
你将获得的是:
与国内外网络安全领域顶尖安全大牛聊人生的机会;
国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);
你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;
老司机编辑手把手带;
以及与你的能力相匹配的薪水。
坐标北京,简历投递至:liqin@leiphone.com
戳蓝字查看更多精彩内容 探索篇 ▼ 真相篇 ▼ 人物篇 ▼ 更多精彩正在整理中…… |
---
“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图二维码并识别关注
相关内容
微信扫码咨询专知VIP会员