站内公告:

SMF - Just Installed!

Main Menu

Pwn2Own 2012:IE9和IE10有相同的0day漏洞

作者 abc123, 2012-03-09, 23:29:50

« 上一篇主题 - 下一篇主题 »

abc123

Pwn2Own 2012黑客大赛上,之前将Chrome攻破的VUPEN团队利用两个不同的0day漏洞攻破了一台安装了Windows7 SP1系统的电脑,而团队的负责人Chaouki Bekrar表示,他们所利用的IE9的0day漏洞事实上完全可以适用于IE6到IE10的浏览器,这就意味着才搭载着WIN8亮相的IE10将会面临着严峻的安全威胁。VUPEN利用一个堆溢出漏洞绕过DEP和ASLR,利用另一个内存损坏漏洞绕过了浏览器的沙盒保护模式。
另外,本届黑客大赛上,有高手5分钟内利用 Chrome 的 0day 漏洞取得了 Windows 7 sp1 系统的控制权限,并因此获得了 Google 六万美元的奖励。据说,在漏洞曝光不到24小时后, Google 就针对此漏洞发布了 Chrome 更新(Chrome 17.0.963.78)。Google出于安全考虑没有详细披露漏洞细节,仅仅称是普遍跨站脚本攻击(UXSS)和有问题的历史导航。这考虑到有很多用户尚未完成更新。