【巴士数码】在加拿大温哥华举行的Pwn2Own黑客大赛的第二天,苹果Safari、谷歌Chrome、Mozilla Firefox 和微软Internet Explorer等浏览器都被攻破。
据外媒报道,来自韩国的安全研究员Jung Hoon Lee使用一个use-after-free漏洞攻破了Safari,Lee使用未初始化的栈指针来绕过Safari的沙盒安全机制,他最后获得了5万美元的奖金。
似乎Lee使用的ues-after-free破解方式也是迫使苹果在本周二发布Safari 8.0.4、7.1.4和6.2.4的主要原因,这些升级补丁分别为Yosemite、Mavericks 和Mountain Lion修复了该漏洞。当然,目前还没有得到确认。苹果在更新说明上提到补丁修正了WebKit中“多个内存漏洞”。
以此同时,谷歌的Chrome浏览器因为缓存溢出问题被攻破。Firefox则因为越界读/写漏洞被攻破。
Pwn2Own黑客大赛每年都会举行,安全研究人员会通过攻破浏览器或系统获得奖金。在Pwn2Own大赛上,参赛人员有30分钟的时间通过远程代码攻破浏览器。成功的破解可以获得奖金,Lee在两天的竞赛中获得了22.5万美元。