Pwn2Own黑客大赛启示:浏览器谁更安全
参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装了安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作。
在2013年的比赛中增加了IE 10 on Windows 8和 IE Web 浏览器插件Adobe Reader、Flash Player和Java。
2013大赛规定:攻入最新版谷歌Chrome 或IE10的将获得10万美元;攻入苹果Safari的将获得6.5万美元;攻入Mozilla's Firefox的将获得6万美元;找出IE Web 浏览器插件Adobe Reader或Flash中可攻击漏洞的将获得7万美元;攻入OracleJava浏览器插件的将被奖励2万美元。除去奖金以外,参赛者还可以拿走已攻陷的笔记本电脑。
本次大赛成绩
在2013年,大赛规定的全部项目除Safari以外均被攻破,大赛安排的奖金被全部瓜分。以下是比赛和奖金的分配结果:
法国安全组织 VUPEN,攻陷了IE 10、Firefox、Flash、Java,共获取25万美元奖金;
MWR Labs研究人员Nils和Jon,攻陷了Chrome,获取10万美金;
个人参赛者James Forshaw、Joshua Drake、Ben Murphy分别攻陷在IE浏览器中的JAVA插件,分别获取2万美元奖金;
个人参赛者George Hotz攻陷IE浏览器中的Adobe Reader插件,获得7万美元奖金。
虽然Safari没有被攻破,但是属于它的6.5万奖金被重复攻陷java的黑客们瓜分。
一提到Safari,不能不让我们想念在08、09、10三届黑客大赛中连续攻破Safari的黑客大牛——苹果黑客专家查理-米勒。在米勒之前,还从未有任何参赛者在Pwn2Own大赛上连续三次获奖。因为和苹果闹翻,他已不再出现在大赛现场了,这也是本届大赛最大的遗憾!
不同厂商对漏洞的响应速度
根据比赛规则,获胜者需要对HP TippingPoint给出漏洞细节,该公司将把漏洞给到相关的软件供应商。然后软件供应商就这些漏洞发布对应的补丁。以下是不同的厂商就大赛中发现的漏洞的响应速度:
在3月7日,Mozilla就发布了MFSA 2013-29的安全公告,推出了19.0.2来修补其代号为CVE-2013-0787的释放后重用漏洞;
同样在3月7日,Google chrome发布了25.0.1364.160来修补在WebKit核心中存在类型混淆(Type confusion)错误,这个漏洞的CVE编号是CVE-2013-0912;
可以看出这两个公司在漏洞公布出来不到24小时就发布了相关漏洞补丁,应急响应能力可以说是神速!
在3月12日,Adobe 公司的APSB13-09通报中发布了11.6.602.180的最新版本,解决了Windows 和 Macintosh 操作系统下11.6.602.171以前版本中存在的4个漏洞,不过没有明确这些漏洞是否跟Pwn2Own大赛发现的漏洞有关。
在3月12日,微软在例行的3月安全通报中,发布了MS13-021的安全补丁,解决了8个秘密提交的和一个公开的释放后重用漏洞,不过也没有明确这些漏洞是否跟Pwn2Own大赛发现的漏洞有关。
Oracle 公司在3月的安全公告中提到了在外流传很广的CVE-2013-1493和另外一个漏洞,而且也提到了TippingPoint,不过也没有明确这些漏洞是否跟Pwn2Own大赛发现的漏洞有关。
启示和建议
个人认为从这个黑客大赛传来有两个启示:一是所有的浏览器都还是存在漏洞的,只是不知道黑客们手里还有多少其他的0day漏洞;二是浏览器厂商对漏洞更加重视,Chrome和Firefox不到24小时就推出漏洞补丁,而微软也在例行通报中一下推出了9个释放后重用漏洞的补丁,但是在时间上还是不能跟前面的两个公司抗衡。
另外根据天融信阿尔法实验室从2012年3月到12月的统计, Google Chrome 浏览器一共发布了7个大版本包含了25个小版本,共解决了176个漏洞;Mozilla FireFox 浏览器一共发布了7个大版本解决了150个漏洞,与之对比的是 IE 全系列包括IE6-IE9一共发布了5个补丁解决了31个漏洞,其中仅仅针对IE9解决了5个漏洞,从安全补丁的发布和浏览器版本的更新速度来看,Google Chrome 和 Mozilla FireFox远远超过了IE!
由于微软的IE推出时间过长,一直占市场统治地位,一些黑客集团对其中的漏洞挖掘很深,手中掌握了不少的 0day 漏洞。如埃尔德伍德(Elderwood)集团,在过去的两年中,从入侵Google 中国的极光行动开始,到去年底用在美国外交关系委员会的漏洞cve-2012-4792,该集团一共推出了9个涉及IE或Flash Player的 0day 漏洞,这些漏洞都是十分高效的可以利用的漏洞;而VUPEN公司也在今年的Pwn2Own大赛中,利用几个他们掌握的0day漏洞轻松攻破IE 10 on Windows 8!
尽管我们相信,微软在2013年一定会在IE的补丁数量和更新速度上超过前一年,但从更新安全补丁的速度上相对来说,目前还是Chrome和Firefox更为安全。
天融信(TOPSEC)是中国领先的信息安全产品与服务解决方案提供商。基于创新的 “可信安全架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,构建安全能力,提升业务价值。