信息來(lái)源:cismag
本周三舉行的年度 Pwn2Own 黑客大賽上,趨勢(shì)科技舉辦的 Zero Day Initiative(ZDI)活動(dòng)上����,有兩起針對(duì)蘋果 Safari 瀏覽器的攻擊����,其中一次取得了成功����。根據(jù)博客分享的細(xì)節(jié),來(lái)自 phoenhex 的 Samuel Gro? 利用包含 macOS 提權(quán)漏洞的三個(gè) BUG 鏈成功入侵了 Safari����。
根據(jù)官方新聞稿提供的細(xì)節(jié),這個(gè)漏洞還能對(duì) MacBook Pro上TouchBar 的文本進(jìn)行篡改�����。憑借著這個(gè) BUG 鏈����,Gro? 成功的獲得了 6.5 萬(wàn)美元,并以 6 分的成績(jī)獲得了夢(mèng)寐以求的“ Master of Pwn ”頭銜����。
去年 11 月舉辦的 Mobile Pwn2Own 大會(huì)上,曾經(jīng)利用兩個(gè) Safari BUG 繞過(guò) iPhone 7 安全協(xié)議的 Richard Zhu 在本次大會(huì)上嘗試?yán)?Safari 漏洞發(fā)起攻擊的。但是遺憾的是�����,在本屆 Pwn2Own大 會(huì)上����,Zhu 無(wú)法在規(guī)定的 30 分鐘時(shí)間內(nèi)從沙箱中逃脫。
不過(guò)�����,Zhu 成功利用 Windows 內(nèi)核 EoP 破解了微軟 Edge�����,使用了兩個(gè) UAF 漏洞和整數(shù)一處漏洞����。Gro? 的 phoenhex 隊(duì)友 Niklas Baumstark 成功對(duì) Oracle VirtualBox 發(fā)起攻擊�����。
