安全竞赛MacBook终被破功 漏洞遭利用

软件工程师Shane Macaulay，利用苹果Safari浏览器一个零时差安全漏洞，成功骇入MacBook系统。这台笔记本电脑是大会举办的"PWN to Own"安全竞赛的奖品之一，事后Macaulay开心地把MacBook抱回家。

这项为期两天的竞赛，要求与会者利用MacBook内的Safari浏览器浏览一个恶意网站（类似Windows使用者经常碰到的攻击）。CanSecWest主办单位在竞赛的第二天宣布这项新规则，因为第一天的比赛没有任何人成功入侵大会提供的两台Mac。

Macaulay队友是最近才离开Matasano安全公司的研究员Dino Dai Zovi，他曾找出Mac软件的若干瑕疵、Safari浏览器的安全漏洞，并在9小时内就写出刺探程序。Dai Zovi说：“那个弱点和刺探程序都是我的成果，Shane是我的执行者。”

苹果发言人Lynn Fox拒绝单独评论这次竞赛，但重述苹果的安全立场：“苹果非常重视安全，并且在使用者受到影响前解决潜在弱点上，有绝佳的记录。”

如果这个瑕疵是首次被使用，Dai Zovi准备以此申请TippingPoint上周四宣布的1万美元奖金。他说：“Shane可以拿走那台笔记本，我要奖金。”TippingPoint负责Zero Day Initiative抓错赏金计划。

一位TippingPoint代表说，该公司会在检查过这项弱点后支付奖金。TippingPoint安全反应经理Terri Forslof说：“如果那确实是Safari的零时差弱点，我们就会接受（申请）。”

就在这次成功入侵的前一天，苹果才发布Mac OS X今年第四次的安全更新。这次更新共修补25项弱点。

CanSecWest主办单位提供的两台MacBook均连接一台无线路由器，并安装了所有安全更新，但没有额外的安全软件或设定。

标签： 安全 计划 漏洞 网站

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。