北京時間3月16日凌晨,在加拿大溫哥華舉行的Pwn2Own 2017世界黑客大賽上,360安全戰(zhàn)隊首戰(zhàn)告捷,僅用時3秒就攻破了Adobe Reader,成功贏得5萬美元全額獎金和6分滿分,成為本屆賽事首支冠軍團隊。
三國大戰(zhàn)360為中國贏得首冠
Pwn2Own由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商TippingPoint的項目組ZDI主辦,今年已是第十屆賽事,吸引了來自中國、德國、美國三個國家的11支戰(zhàn)隊參賽,比賽項目數(shù)量和獎金均為歷屆最高。
作為Pwn2Own 2017的第一個挑戰(zhàn)項目,Adobe Reader是全球流行的PDF閱讀器,擁有數(shù)以億計用戶。近年來Adobe Reader不斷加固安全防線,更搭配了強悍的沙箱保護。在著名“網(wǎng)絡(luò)軍火商”Zerodium公布的漏洞收購價目表上,完全攻破Adobe Reader的漏洞懸賞價格高達(dá)8萬美元,與Chrome、Edge、IE和Safari四大瀏覽器相同。
圖:360安全戰(zhàn)隊3秒攻破Adobe Reader贏得本屆Pwn2Own首個冠軍
據(jù)悉,本屆比賽共有兩支團隊報名挑戰(zhàn)Adobe Reader,360安全戰(zhàn)隊率先出戰(zhàn)。比賽中,360安全戰(zhàn)隊使用了Adobe Reader漏洞和Windows 10漏洞的“組合拳”攻擊:首先利用Adobe Reader漏洞實現(xiàn)遠(yuǎn)程代碼執(zhí)行,再利用Win10系統(tǒng)的內(nèi)核漏洞突破Adobe沙箱堡壘,在比賽中只要打開一個PDF文件就能成功控制電腦。
由于攻擊代碼質(zhì)量極高,整個比賽過程僅用時3秒就順利完成。經(jīng)過Adobe、微軟和主辦方ZDI審核,360安全戰(zhàn)隊的攻擊完美有效,贏得Adobe Reader項目最高級別的5萬美元和6個積分獎勵。
黑客“找茬”讓產(chǎn)品更安全
360安全戰(zhàn)隊負(fù)責(zé)人鄭文彬表示,盡管Pwn2Own設(shè)置的獎金數(shù)量低于“網(wǎng)絡(luò)軍火商”懸賞的漏洞價格,但360作為負(fù)責(zé)任的安全廠商,必須把漏洞提交給廠商官方修復(fù),而不能讓漏洞被惡意攻擊者利用。
據(jù)Pwn2Own大賽主辦方介紹,微軟、Adobe等廠商在比賽中作為裁判,能夠第一時間獲得漏洞細(xì)節(jié)和攻擊方法,從而及時制作補丁。360安全衛(wèi)士官方微博也表示,黑客攻擊比賽可以推動廠商提升產(chǎn)品安全性,讓世界上每一臺智能設(shè)備都變得更安全。
在攻破Adobe Reader的比賽中,360戰(zhàn)隊由360Vulcan Team和360代碼衛(wèi)士團隊聯(lián)手出擊。其中,360Vulcan Team是360安全衛(wèi)士的攻防研究團隊,在世界各大黑客賽事上多次榮獲冠軍,也是首支攻破IE、Chrome和VMware Workstation的亞洲團隊,打破了歐美國家在這些項目上的統(tǒng)治地位。
360代碼衛(wèi)士則面向企業(yè)源代碼安全需求,實現(xiàn)軟件安全開發(fā)生命周期管理,運營著國內(nèi)規(guī)模最大的開源軟件源代碼安全檢測公益項目。團隊曾多次發(fā)現(xiàn)Windows系統(tǒng)、多款瀏覽器、Adobe Flash Player及各種開源基礎(chǔ)組件的安全漏洞,已獲得相關(guān)國際廠商29次公開致謝。
?
?
?
相關(guān)鏈接:
權(quán)威解讀,人大監(jiān)督工作是這樣開展的!?
·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術(shù)設(shè)計等作品,版權(quán)均屬??诰W(wǎng)所有。未經(jīng)本網(wǎng)書面授權(quán),不得進行一切形式的下載、轉(zhuǎn)載或建立鏡像。
·凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé)。
網(wǎng)絡(luò)內(nèi)容從業(yè)人員違法違規(guī)行為舉報郵箱:jb66822333@126.com