iPhone/Safari/IE8在黑客大赛上全军覆没

据国外媒体报道，网络高手们日前在CanSecWest安全大会年度Pwn2Own竞赛上成功侵入未解锁的iPhone、Snow Leopard上的Safari以及Windows 7上的Internet Explorer 8和Firefox。

Independent Security Evaluators公司首席安全分析师查理·米勒(Charlie Miller)成功侵入一台MacBook Pro的Safari ， 获得10000美元奖金。米勒在去年利用Safari的一个漏洞完成侵入，获得5000美元奖金。2008年则侵入一台 MacBook Air笔记本电脑，获得10000美元奖金。所有这些入侵都是在同一台电脑上完成的。米勒拒绝提供侵入Safari的具体细节，但他说目标电脑曾先访问了一个带有恶意程序的网站，获得目标电脑的一个接口，能够执行他需要的命令，而目标电脑一直都没有发觉，但现在目标电脑已经完全修复。据悉，米勒花 了至少一周时间来写攻击程序。

来自荷兰的独立安全研究人员彼得·乌勒登希尔(Peter Vreugdenhil)利用自己开发的程序，成功绕过IE8的防护功能，获得10000美元。乌勒登希尔说，他利用了两个安全漏洞侵入IE 8，绕过了地址空间布局随机化(ASLR)和数据执行防护(DEP)。ASLR的安全功能在于能减少了一些内存代码攻击，DEP则是用于防止攻击者在非可执行内存上运行恶意代码。

同样获得10000美元的还有来自英国MWR InfoSecurity的尼尔斯(Nils，他拒绝透露姓氏)，尼尔斯的攻击目标是 Firefox。尼尔斯目前是德国奥尔登堡大学计算机科学系的学生，去年已经成功侵入IE 8、Safari及Firefox，赢得1.5万美元奖金。尼尔斯说，侵入利用了内存损坏漏洞并绕过ASLR和DEP，写这个侵入程序花费了仅仅几天的时间。

最后，卢森堡大学拉尔夫·菲利普·魏曼(Ralf Philipp Weinmann)和德国Zynamics公司文森佐·罗佐(Vincenzo Iozzo)成功侵入iPhone，共同分享了15000美元奖金。罗佐由于旅途耽误了比赛，罗佐的同事托马斯·杜林(Thomas Dullien)担任了他的比赛代理人。罗佐和魏曼利用两周时间来写侵入程序，成功窃取iPhone的SMS数据库的内容。