Pwn2Own黑客大賽存在嚴重Safari漏洞：可macOS等平臺來賺錢

4 月 9 日消息 每年，Zero Day Initiative 都會舉辦 “Pwn2Own”黑客大賽，安全研究人員可以通過發現 Windows 和 macOS 等主要平臺的嚴重漏洞來賺錢。

2021 年的 Pwn2Own 線上活動在本周早些時候拉開帷幕，有 23 次獨立的黑客嘗試，涉及 10 種不同的產品，包括網絡瀏覽器、虛擬化、服務器等。今年的 Pwn2Own 活動為期三天，每天持續多個小時，在 YouTube 上進行了直播。

在 Pwn2Own 2021 中，蘋果產品并沒有成為主要目標，但在第一天，來自 RET2 系統公司的 Jack Dates 執行了一個 Safari 到內核的零日漏洞，為自己贏得了 10 萬美元。他利用 Safari 中的整數溢出和 OOB 寫入來獲得內核級代碼執行。

在 Pwn2Own 活動期間，其他黑客嘗試的目標是 Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome 和 Microsoft Edge。

例如，荷蘭研究人員 Daan Keuper 和 Thijs Alkemade 展示了一個嚴重的 Zoom 漏洞。二人利用三重缺陷，在沒有用戶交互的情況下，利用 Zoom 應用獲得了對目標 PC 的完全控制。

IT之家了解到，Pwn2Own 的參與者因為發現的漏洞獲得了超過 120 萬美元的獎勵。Pwn2Own 給予蘋果等廠商 90 天的時間來對發現的漏洞進行修復，因此可以期待在不久的將來，該漏洞會在更新中得到解決。

關鍵詞： 黑客 漏洞