研究团队周三破解了微软的Internet Explorer 10(IE10),谷歌的Chrome和Mozilla的Firefox在PWN2WACHING比赛中,奖金超过250,000美元。
当天早些时候,独奏黑客利用甲骨文的Java赢得了20,000美元。
vupen是一名法国漏洞研究和销售公司在去年PWN2WOWS的第一名,通过利用一对缺陷,在Windows 8供电的曲面专业平板电脑上延续了IE10。
“我们将[Microsoft's]表面专业人员有两个IE10零天,以实现与沙箱旁路的完整Windows 8妥协,”Vupen宣布推特星期三下午。
HP TippingPoint今年零日倡议(ZDI)Bug Bounty计划共同赞助PWN2Down - Google也将钱融入比赛 - 在自己的推文中确认了Vupen黑客。
根据PWN2OWN的规则,从2012年的挑战中大大修订,研究人员的第一个研究人员或在Windows 8上攻击IE10的挑战$ 100,000现金奖金,加上托管浏览器目标的机器。
在一天结束时,Vupen随访了在Windows 7上的Firefox 19的利用,收集了60,000美元。
Pwn2own在不列颠哥伦比亚省温哥华的Cansecwest安全会议上开始,周五营业。
周三,来自MWR实验室的双人团队,英国的MWR InfoSecurity,黑客攻击铬25.在Windows 7上利用浏览器和操作系统中的多个“零日”或未括起来的漏洞,漏洞。
与IE10的Vupen Hack一样,MWR Labs的Chrome开发导致Windows Anti-Exploit“沙箱”技术完全旁路。找到了错误,建立了漏洞的MWR实验室研究人员,并在PWN2OWN展示了他们的技能是NILS - 一个只有他的名字所知的年轻德国人 - 和Jon Butler。尼尔斯有一个PWN2WOWN历史:他在2010年攻击Mozilla的Firefox赢得了10,000美元,并在利用Firefox,IE8和Apple的野生动物园之前获得了15,000美元。
nils和butler描述了他们的铬黑客博客帖子周三,概述了他们如何击败Windows的安全防御,包括地址空间布局随机化(ASLR)和数据执行预防(DEP)。
为他们的工作,尼尔和巴特勒收到了100,000美元。
在比赛的开幕式上,一对独奏研究人员 - 詹姆斯Forhshaw是U.K的上下文信息安全的主要顾问。和Joshua Drake的Accuvant - 泛滥的Oracle的Java。FORSHAW,他首先服用了他的JABS,赢得了20,000美元,PWN2WORE的价格最低奖。Vupen还成功地攻击了Java 7,漏洞和漏洞自行攻击。
在原始规则的出发时,ZDI表示,它将购买所有成功的漏洞及其相关的研究人员,即使是那些未授予奖品的漏洞。它没有说,通过销售此类二级缺陷会赚取多少黑客:ZDI和其他BUG赏金计划通常是紧密锁定的关于他们支付的东西。
周三的几个奖品无人认领,包括在Windows 7上的Adobe的Flash Player和Adobe Reader的两倍70,000美元,以及OS X山狮子的Safari 65,000美元。闪光灯和读卡器今天被攻击。
谷歌自己的比赛,Pwnium 3,当Chrome OS - 搜索巨头的浏览器的操作系统时,星期四在Cansecwest上踢 - 将由研究人员定位。PWNIUM 3是值得注意的31.14万美元谷歌已经留出了潜在的奖项,并且每个成功的利用的个人奖金高达150,000美元。
这是Pwn2own的第八年,但超过50万美元的总奖池是比赛的记录。
有关PWN2OWN的更多信息可以找到TippingPoint的博客。
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer., 上Google+或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@computerworld.com.。
看到更多来自Computerworld.com上的Gregg Keizer。
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事,“研究人员在Pwn2own Hacking比赛中以280万美元的价格耙”最初是发表的Computerworld. 。