本帖最后由 飞机飞行 于 2017-3-17 11:39 编辑
大会介绍
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、趋势科技旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
会议时间
2017年3月15日10:00——3月17日18:00(温哥华时间西八区)
2017年3月16日02:00——3月18日10:00(北京时间东八区)
会议地点
加拿大温哥华CanSecWest 2017
Pwn2Own2017战况速报
Pwn2Own2017凌晨开战
不大的比赛场地挤满了参赛者和观众,大家对今天的比赛都充满了期待。
Pwn2Own 2017通行证
比赛现场
现场抽签,决定比赛顺序
各国参赛者紧张有序的到裁判处抽签,抽出本次比赛各项目的顺序。
裁判公布抽签结果,确定比赛顺序
裁判公布抽签结果,确定比赛顺序
比赛现场
3秒攻破AdobeReader 360赢得Pwn2Own世界大赛开门红
北京时间3月16日凌晨,360安全战队首战告捷,仅用时3秒就攻破了Adobe Reader,成功赢得5万美元全额奖金和6分满分,成为本届赛事首支冠军团队。 据悉,本届比赛共有两支团队报名挑战Adobe Reader,360安全战队率先出战。比赛中,360安全战队使用了Adobe Reader漏洞和Windows 10漏洞的“组合拳”攻击:首先利用Adobe Reader漏洞实现远程代码执行,再利用Win10系统的内核漏洞突破Adobe沙箱堡垒,在比赛中只要打开一个PDF文件就能成功控制电脑。
由于攻击代码质量极高,整个比赛过程仅用时3秒就顺利完成。经过Adobe、微软和主办方ZDI审核,360安全战队的攻击完美有效,赢得Adobe Reader项目最高级别的5万美元和6个积分奖励。
奖金介绍
虚拟机逃逸(客户到主机)项目 1、VMware Workstation 奖金:10万美金 2、Microsoft Hyper-V 奖金:10万美金
本地提权项目 1、Microsoft Windows 10 奖金:3万美金 2、Apple macOS 奖金:2万美金
3、Ubuntu桌面 奖金:1.5万美金
Web浏览器和插件 1、Microsoft Edge 奖金:8万美金 2、Google Chrome 奖金:8万美金 3、Mozilla Firefox 奖金:3万美金 4、Apple Safari 奖金:5万美金 5、Microsoft Edge中的Adobe Flash 奖金:5万美金
企业应用程序 1、Adobe Reader 奖金:5万美金 2、Microsoft Office Word 奖金:5万美金 3、Microsoft Office Excel 奖金:5万美金 4、Microsoft Office PowerPoint 奖金:5万美金
服务器端 1、Ubuntu服务器上的Apache Web服务器 奖金:20万美金
比赛项目及对应积分
2017年Pwn2Own共设置15个项目,根据比赛难度的不同,每一项设置了相应的积分和奖金。在3天所有赛程结束后,积分最高的参赛团队,将赢得“Master of Pwn”(破解大师)世界冠军称号,并获得65000个ZDI积分(约合25,000美元)的额外奖励。
各厂商最新补丁公告
Adobe安全公告 适用于Adobe Flash Player的安全更新 发布日期:2017年3月14日 CVE编号:CVE-2017-2997,CVE-2017-2998,CVE-2017-2999,CVE-2017-3000,CVE-2017-3001,CVE-2017-3002,CVE-2017-3003 平台:Windows,Macintosh,Linux和Chrome操作系统 概要:Adobe已发布适用于Windows,Macintosh,Linux和Chrome操作系统的Adobe Flash Player的安全更新。 受影响的版本
漏洞详细信息 这些更新解决了可能导致代码执行的缓冲区溢出漏洞(CVE-2017-2997); 这些更新解决了可能导致代码执行的内存损坏漏洞(CVE-2017-2998,CVE-2017-2999); 这些更新解决了用于持续盲法的随机数生成器漏洞,可能导致信息泄露(CVE-2017-3000); 这些更新解决了可能导致代码执行的漏洞(CVE-2017-3001,CVE-2017-3002,CVE-2017-3003)。
Microsoft安全公告 发布日期:2017年3月14日
VMware安全公告 严重性:严重 概要:VMware Workstation和Fusion更新解决了内存越界访问漏洞 发布日期:2017-03-14 更新日期:2017-03-14(初步) CVE编号:CVE-2017-4901
Master of Pwn(破解大师)战衣
2017年Pwn2Own共设置15个项目,根据比赛难度的不同,每一项设置了相应的积分和奖金。在3天所有赛程结束后,积分最高的参赛团队,将赢得“Master of Pwn”(破解大师)世界冠军称号,并获得65000个ZDI积分(约合25,000美元)的额外奖励。 本次大赛吸引了来自世界各地的顶尖安全人才,这件战衣最后会属于谁呢?让我们一起期待!
|
评论
直达楼层