之前有報(bào)道說本屆比賽IE瀏覽器是最困難的目標(biāo)����,這個(gè)描述并不準(zhǔn)確����。接下來我借用知乎里一些大神黑客們回答的內(nèi)容來進(jìn)行詳細(xì)的解釋:
這是去年 Pwn2Own 后這一年新增瀏覽器漏洞的情況:
幾家瀏覽器在安全性上各有特色,但整體來說����,基本上仍然公認(rèn) Chrome 的安全性最好����。主要是因?yàn)?Chrome 的沙箱比較難對付����。IE 最近一年漏洞還是不少的����,總量位居第一。不過自從微軟去年出了兩個(gè)大殺器后����,新增漏洞少了很多,再加上今年 Pwn2Own 的幾個(gè)特殊要求����,難度比去年確實(shí)高了不少。
難度這東西不好量化����,獎(jiǎng)金可能是最能反映難度的評價(jià)指標(biāo)。今年的獎(jiǎng)金設(shè)定是:
Google Chrome: 7.5 萬美元
Microsoft IE 11:6.5 萬美元
Adobe Reader(運(yùn)行于 IE11 環(huán)境):6 萬美元
Adobe Flash(運(yùn)行于 IE11 環(huán)境):6 萬美元
Mozilla Firefox:3 萬美元
從獎(jiǎng)金數(shù)看����,Chrome 仍然是最難的挑戰(zhàn)目標(biāo)����。IE 的獎(jiǎng)金比 Chrome 少了 1 萬美元����。Adobe Reader 和 Adobe Flash 因?yàn)橐筮\(yùn)行于 IE 環(huán)境內(nèi),同樣需要突破 IE 的 EPM����,難度其實(shí)不低,所以獎(jiǎng)金僅比 IE 少 5000 美元����。Firefox 因?yàn)槭巧厦孢@些挑戰(zhàn)中唯一沒有沙箱的,所以獎(jiǎng)金最少����,倒也合理。
不過如果獲得系統(tǒng)級權(quán)限����,能達(dá)到額外的兩萬五千美元獎(jiǎng)金,那么難度系數(shù)將毫無疑問超越普通的攻破����。
具體來說����,IE瀏覽器����、Flash����、PDF閱讀器三個(gè)項(xiàng)目的參賽者會面臨以下挑戰(zhàn):
一、IE開啟了默認(rèn)并不打開的增強(qiáng)沙箱保護(hù)(EPM����, Enhanced Protected Mode)。
增強(qiáng)沙箱保護(hù)是微軟從Windows8操作系統(tǒng)開始引入了一項(xiàng)針對Metro App和IE瀏覽器的全新安全防護(hù)機(jī)制����。與Windows7時(shí)代的IE瀏覽器沙箱相比,該增強(qiáng)沙箱保護(hù)機(jī)制的限制嚴(yán)格得多����,更難以被突破。由于該安全機(jī)制太過嚴(yán)格����,存在不少兼容性問題����,因此在IE瀏覽器里����,這項(xiàng)功能默認(rèn)是不開啟的。
小編推薦閱讀
