Pwn2Own瀏覽器駭客競賽,Apple Safari븠… - MAC

Joe avatar
By Joe
at 2011-03-13T01:05

Table of Contents

※ 引述《wayne1985 (小書&小昭)》之銘言:
: : 剛剛手機的安全性競賽結果也出爐...
: : iPhone4還是被秒殺攻破...
: : MAC不是跟全世界說,它是最安全的嗎?
: : 怎麼都是被秒殺?
: 嗯我們來客觀的看待這件事!!!
: 那幾個頂尖的駭客
: 全世界有幾個???
: 那幾個頂尖的駭客....
: 基本上他們只想攻破最難攻破的
: 先攻破win....
: 跟先攻破mac...
: 對於他們的個人名氣
: 那一個是實質有幫助的..我不回答!
: 大家自已心裡應該都有個答案
: 另外!!!
: 就算!!真的!!mac的確比win容易攻破個100倍..哦
: 1000倍好了!!!
: 對於mac的user來說
: 頂尖駭客就那幾個..
: 等到他要來攻破你的防火牆
: 預約你都排不到了!!!!
: 就算你拿錢請他攻破你他都不屑了..
: 所以????
: 所以???
: 結論...
: 基本上.........
: 我們來這樣看最準了!!!
: 隨機路上找個1000人10000人之類的
: 看那個os最先被攻破吧!!!
: 至於上面那篇仁兄問這個問題!!
: 我絕對不會笑你無知無腦無所事事引戰亂問的~
: 我只會佩服你有空有閒有時間有勇氣問這樣的問題的~

先不評論誰優誰劣

單純講幾個事實

這個比賽是各自報名後回家開始研究自己報名項目的弱點

並且針對自己所發現的弱點先寫好破解所需要的「檔案」或「程式」或「網頁」

然後拿到比賽上使用

比賽破解的判定分成兩個部份

第一個是執行任意的程式, 第二個是寫入任意檔案

第一點達成表示駭客擁有控制程式的能力, 他可以執行他自己想要執行的東西

第二點達成表示駭客已經突破瀏覽器的保護環境 (sandbox, 中文很難翻譯)

所花的時間只是單純使用這個弱點要經過幾道手續的差別而已

而沒有出現的隊伍 (比如Google Chrome)

並不是有什麼陰謀

只是單純他們沒發現弱點 (或發現了但是沒有找到如何利用) 去了也不知道要幹嘛

另外Google是唯一對自己瀏覽器敢加碼獎金的公司




所以當safari五秒被破解

該破解隊伍並不是各位想像的電影裡面駭客破解電腦一樣

開了一拖拉庫的terminal打字打得飛快

他們只是只是開了他們自己寫的一個網頁 (網頁裡面肯定有一些有的沒的東西)

敲了網址進去如此而已

被攻擊的電腦就執行了該隊伍自己的寫的一個無害的程式

並且在磁碟寫入了一個無害的檔案




所以任何一個有點程度的程式設計師

只要拿到該網頁的程式碼

把內容稍微換掉 (把想執行的程式改成fdisk, 把想存取的目標改成/dev/sda1)

然後上傳這個網頁到無名

再去facebook分享這個網址, 標題寫「養眼辣妹走光流出照!!」

隔天蘋果店就會塞滿了人




當然今天這些網頁程式碼並沒有流出

這些駭客也並沒有想要釋出這些網頁的念頭

所以macbook裡頭的safari應該還是安全的

不過不代表要再破解safari就只有請這幾位駭客到你電腦前敲敲打打這一招

就好像拔了獅子的鬃毛不會讓禿頭變油頭一樣

不要再相信沒有根據的說法了.....


--
Tags: MAC

All Comments

Kelly avatar
By Kelly
at 2011-03-15T01:58
推~看過之後長很多知識:)
Wallis avatar
By Wallis
at 2011-03-17T19:58
長知識推
Thomas avatar
By Thomas
at 2011-03-22T06:04
給你個沙箱,讓你只能在箱子裡玩沙沙,箱子外的通通玩不到
Franklin avatar
By Franklin
at 2011-03-25T14:14
Andrew avatar
By Andrew
at 2011-03-26T06:21
錯, 沒流出代表這是0day..
Freda avatar
By Freda
at 2011-03-30T02:15
也就是你不知這個exploit有沒有人搞大規模攻擊....
Isla avatar
By Isla
at 2011-03-30T06:47
有洞就是有洞,照Apple上patch的速度只能說自己保重...
Isla avatar
By Isla
at 2011-04-01T19:44
沒出事之前大家也是覺得android market上不會有毒啊www
Frederica avatar
By Frederica
at 2011-04-02T07:59
sandbox可譯作 "沙盒"
Charlie avatar
By Charlie
at 2011-04-02T09:06
我記得這個比賽所發現的bug會呈報給原公司發布patch

Firefox更換預設中文字體調查

Blanche avatar
By Blanche
at 2011-03-13T01:02
因為蠻多朋友提到 Firefox 應該把預設字體換成黑體-繁, 因此 MozTW 提出這個調查。 請大家在比較顯示效果後, 選擇喜歡目前的預設值(蘋果儷中黑)或換為黑體-繁, 我們會依結果建議 Mozilla 進行調整。 請至此參考調整前後的變化,再填寫最後的問卷: http://go.sto.tw/he ...

App store的軟體這麼多....

Rebecca avatar
By Rebecca
at 2011-03-13T00:35
大家應該都有在App store買過mac的軟體了吧, 不知道有沒有那種專門介紹mac軟體的網站, MacUknow會介紹某些好用的軟體沒錯,只是數量不是很多, 像是遊戲這種類型的軟體似乎更需要經過介紹才不會踩到地雷, 就像TV games跟PC games常有的遊戲介紹網站與雜誌之類的, 不知道各 ...

有沒有類似 BluePhoneElite 可以在 Android 上傳簡訊的軟體?

Aaliyah avatar
By Aaliyah
at 2011-03-13T00:29
剛才上去他們的網站, 發現他們只支援原來的會員 我記得以前....大概七八年前用 BluePhoneElite 2 但是帳號密碼序號都忘光了, 而且他們好像也沒有支援 Android 的樣子 想請教一下有沒有板友知道 有沒有方法可以用 Mac 讓 Android 手機傳簡訊? -- 「但如果你在懼 ...

MacBook Pro 訂單被取消了 = =

Christine avatar
By Christine
at 2011-03-12T22:49
本來昨天去查的時候還好好的, 結果剛剛再去看的時候, 訂單突然被取消了 = = 更多被取消:http://raindog.pixnet.net/blog/post/28252451 現在要等到禮拜一客服人員上班, 才能打電話去了解狀況了...... 不知道有沒有其他網友遇到過類似狀況? - ...

pages用symbol卻沒用?

William avatar
By William
at 2011-03-12T21:46
※ 引述《pbozac (PBOZAC)》之銘言: : 請問... : 在windows不是用symbol就可以把a變成alpha嗎? : mac字體集裡面的symbol也是羅馬文字 : 為甚麼在pages裡面就不能這樣呢?是我的pages怪怪的嗎? 其實不是換字體就會變... a 和α本來就是不同字, S ...