Pwn2Own黑客大赛启示:浏览器谁更安全

来源:岁月联盟 编辑:猪蛋儿 时间:2013-06-06
近日,Pwn2Own是一场黑客竞赛,每年在温哥华网络系统安全大会上举行。黑客们可以通过系统本身的漏洞破坏系统的安全防护从而完全控制系统。Pwn2Own是世界上最著名的黑客大赛之一,由安全研究机构TippingPoint DVLabs赞助,亦今为止已连续举办了七届。

  参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装了安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作。

  在2013年的比赛中增加了IE 10 on Windows 8和 IE Web 浏览器插件Adobe Reader、Flash Player和Java。

  2013大赛规定:攻入最新版谷歌Chrome 或IE10的将获得10万美元;攻入苹果Safari的将获得6.5万美元;攻入Mozilla's Firefox的将获得6万美元;找出IE Web 浏览器插件Adobe Reader或Flash中可攻击漏洞的将获得7万美元;攻入OracleJava浏览器插件的将被奖励2万美元。除去奖金以外,参赛者还可以拿走已攻陷的笔记本电脑。

  本次大赛成绩

  在2013年,大赛规定的全部项目除Safari以外均被攻破,大赛安排的奖金被全部瓜分。以下是比赛和奖金的分配结果:

  法国安全组织 VUPEN,攻陷了IE 10、Firefox、Flash、Java,共获取25万美元奖金;

  MWR Labs研究人员Nils和Jon,攻陷了Chrome,获取10万美金;

  个人参赛者James Forshaw、Joshua Drake、Ben Murphy分别攻陷在IE浏览器中的JAVA插件,分别获取2万美元奖金;

  个人参赛者George Hotz攻陷IE浏览器中的Adobe Reader插件,获得7万美元奖金。

  虽然Safari没有被攻破,但是属于它的6.5万奖金被重复攻陷java的黑客们瓜分。

  一提到Safari,不能不让我们想念在08、09、10三届黑客大赛中连续攻破Safari的黑客大牛——苹果黑客专家查理-米勒。在米勒之前,还从未有任何参赛者在Pwn2Own大赛上连续三次获奖。因为和苹果闹翻,他已不再出现在大赛现场了,这也是本届大赛最大的遗憾!

  不同厂商对漏洞的响应速度

  根据比赛规则,获胜者需要对HP TippingPoint给出漏洞细节,该公司将把漏洞给到相关的软件供应商。然后软件供应商就这些漏洞发布对应的补丁。以下是不同的厂商就大赛中发现的漏洞的响应速度:

  在3月7日,Mozilla就发布了MFSA 2013-29的安全公告,推出了19.0.2来修补其代号为CVE-2013-0787的释放后重用漏洞;

  同样在3月7日,Google chrome发布了25.0.1364.160来修补在WebKit核心中存在类型混淆(Type confusion)错误,这个漏洞的CVE编号是CVE-2013-0912;

  可以看出这两个公司在漏洞公布出来不到24小时就发布了相关漏洞补丁,应急响应能力可以说是神速!

  在3月12日,Adobe 公司的APSB13-09通报中发布了11.6.602.180的最新版本,解决了Windows 和 Macintosh 操作系统下11.6.602.171以前版本中存在的4个漏洞,不过没有明确这些漏洞是否跟Pwn2Own大赛发现的漏洞有关。

  在3月12日,微软在例行的3月安全通报中,发布了MS13-021的安全补丁,解决了8个秘密提交的和一个公开的释放后重用漏洞,不过也没有明确这些漏洞是否跟Pwn2Own大赛发现的漏洞有关。

  Oracle 公司在3月的安全公告中提到了在外流传很广的CVE-2013-1493和另外一个漏洞,而且也提到了TippingPoint,不过也没有明确这些漏洞是否跟Pwn2Own大赛发现的漏洞有关。

  启示和建议

  个人认为从这个黑客大赛传来有两个启示:一是所有的浏览器都还是存在漏洞的,只是不知道黑客们手里还有多少其他的0day漏洞;二是浏览器厂商对漏洞更加重视,Chrome和Firefox不到24小时就推出漏洞补丁,而微软也在例行通报中一下推出了9个释放后重用漏洞的补丁,但是在时间上还是不能跟前面的两个公司抗衡。

  另外根据天融信阿尔法实验室从2012年3月到12月的统计, Google Chrome 浏览器一共发布了7个大版本包含了25个小版本,共解决了176个漏洞;Mozilla FireFox 浏览器一共发布了7个大版本解决了150个漏洞,与之对比的是 IE 全系列包括IE6-IE9一共发布了5个补丁解决了31个漏洞,其中仅仅针对IE9解决了5个漏洞,从安全补丁的发布和浏览器版本的更新速度来看,Google Chrome 和 Mozilla FireFox远远超过了IE!

  由于微软的IE推出时间过长,一直占市场统治地位,一些黑客集团对其中的漏洞挖掘很深,手中掌握了不少的 0day 漏洞。如埃尔德伍德(Elderwood)集团,在过去的两年中,从入侵Google 中国的极光行动开始,到去年底用在美国外交关系委员会的漏洞cve-2012-4792,该集团一共推出了9个涉及IE或Flash Player的 0day 漏洞,这些漏洞都是十分高效的可以利用的漏洞;而VUPEN公司也在今年的Pwn2Own大赛中,利用几个他们掌握的0day漏洞轻松攻破IE 10 on Windows 8!

  尽管我们相信,微软在2013年一定会在IE的补丁数量和更新速度上超过前一年,但从更新安全补丁的速度上相对来说,目前还是Chrome和Firefox更为安全。

  天融信(TOPSEC)是中国领先的信息安全产品与服务解决方案提供商。基于创新的 “可信安全架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,构建安全能力,提升业务价值。