在惠普赞助的年度黑客挑战赛Pwn2Own 2014上,Google Chrome、苹果Safari、微软IE、Mozilla Firefox和Adobe Flash相继被攻陷,但Firefox是攻陷次数最多的开源浏览器。 微软的IE被安全公司VUPEN与安全研究员 Sebastian Apelt和Andreas SchMIDt各自攻破一次,Apelt和Schmidt利用的是释放后使用的内存漏洞;Flash 也被攻破了两次;Keen Team 利用内存堆溢出和沙盒绕过漏洞突破了Safari的安全防线;VUPEN利用释放后使用漏洞突破Chrome的沙盒;Firefox在第一天被三种不同方法攻破了三次,第二天又被攻陷了一次,总共发现4个bug。 为什么Firefox在今年被攻陷的次数如此之多?Mozilla安全隐私高级工程经理Sid Stamm认为原因是Pwn2Own提供的金钱激励更高,Pwn2Own为每个漏洞奖励了安全研究员5万美元,而Mozilla仅仅为每个漏洞奖励发现者3000美元。
|
