【中国广告门户商务服务网】北京时间3月26日消息,据国外媒体报道,近日在加拿大温哥华举行的2010年Pwn2Own全球黑客大赛上,两名黑客在Windows7操作系统环境中分别攻破了IE8浏览器和火狐3.6浏览器,并因此各获得1万美元奖金。其中攻破IE8浏览器的黑客表示,攻破IE8只需要2分钟时间。
微软IE8、苹果Safari及火狐(Firefox)等三大浏览器相继被攻破
点击此处查看全部新闻图片
黑客大赛IE8被攻破
来自荷兰的黑客皮特·维莱格登希尔(PeterVreugdenhil)和一位自称尼尔斯(Nils)的德国研究人员成功突破了Windows7最有名的两项反黑客功能:DEP(数据执行保护)和ASLR(地址空间随时加载)。
维莱格登希尔首先绕过了ASLR防护,然后又绕过了DEP,进而成功攻破IE8浏览器。一个半小时之后,尼尔斯使用类似的策略绕过了这些防护策略,攻破了火狐3.6浏览器。两人均赢得了一台笔记本电脑、1万美元的奖金以及出席今年7月份DefCon黑客大会的资格。
大赛主办方的艾伦·波特诺伊(AaronPortnoy)表示:“今天的每一种攻击方式都是高水平的,攻破IE8的方式尤为引人关注。”
ASLR通过随时加载关键存储区的位置,使黑客难以预测他们的攻击代码是否能够运行。针对这个防护措施,维莱格登希尔首先利用大量的弱点获得了IE8加载到存储器当中的一个.dll模块的基本地址,然后再利用这个模块去攻击DEP防护程序。
2004年微软推出WindowsXPServicePack2时推出了DEP功能,旨在阻止恶意代码在不该执行的区域运行,以此来防止缓冲区溢出攻击(bufferoverflowattack)。维莱格登希尔表示:“我的攻击方式对微软自己的代码进行了再利用,以此来绕过DEP。你可以利用微软自己的代码来破坏内存保护。”
[1] [2] [3] 下一页
 |
|
发 表 评 论 |
- 企业推广
- 企业服务
