近日,頂尖白帽黑客集聚成都,對當前業內主流軟體展開一系列的凌日測試。在週末(11 月 16-17 日)的天府杯 2019 國際網路安全大賽中,安全研究人員們爭相對目標軟體展開攻擊,以斬獲豐厚的積分、獎勵和聲譽。據悉,天府杯的規則,與全球頂級黑客大賽 Pwn2Own 類似。不過隨著國內安全研究團隊名聲鵲起,天府杯也應運而生。
賽程安排(題圖 via ZDNet)
在 2018 年秋季舉辦的大賽期間,研究人員成功破解了 Edge、Chrome、Safari、iOS、VirtualBox 等應用程式,以及來自多個移動裝置製造商的產品。
本屆大賽的第一天,參賽團隊攻破了 Chrome、Edge、Safari、Office 365 等應用程式,其中包括 —— 針對經典版 Microsoft Edge 瀏覽器的三個成功利用、Chrome(兩項)、Safari(一項)、Office 365(一項)、Adobe PDF Reader(兩項)、D-Link DIR-878路由器(三項)、qemu-kvm + Ubuntu(一項)。
第一天結束的時候,曾拿下 Pwn2Own 冠軍的 360Vulcan 團隊處於領先地位。
在零日漏洞曝光後,軟體供應商通常會在幾分鐘至數小時內釋出對應的修補程式。
大賽第二天,安全研究人員們迎來了 16 場比賽。儘管只有一半能順利進行下去,但還是得出了 7 個有效的攻擊漏洞。其中包括針對 D-Link DIR-878 路由器的攻擊(四項)、Adobe PDF Reader(兩項)、以及 VMWare Workstation(一項)。
最終,360Vulcan 以絕對優勢贏得了比賽 —— 成功地攻破了 Microsoft Edge、Office 365、qemu + Ubuntu、Adobe PDF Reader 和 VMWare Workstation 等應用程式,並拿到了 38.25 萬美元的獎金。
VMWare和qemu + Ubuntu漏洞在贏得比賽中發揮了重要作用,分別帶來了200,000美元和80,000美元的收入。