黑客大賽獲獎者拒絕向微軟蘋果提供漏洞詳情

2016航空航天科普知識大賽答題軟件V1.0手機版

• 類型：安卓其它大�。�3M語言：中文 評分：10.0
• 標簽：

立即下載

 已連續(xù)三年在Pwn2Own黑客大賽獲獎的黑客查理·米勒(Charlie Miller)周四表示，他不會向微軟、蘋果及Adobe提供自己所發(fā)現(xiàn)相應軟件漏洞的技術細節(jié)信息，而會向這些廠商提供自己查找軟件漏洞的“思路”，以促使微軟等廠商自行提高軟件的安全性能。米勒此前陸續(xù)在蘋果Mac OS操作系統(tǒng)、微軟Office辦公套件以及Adobe Reader(PDF文件閱讀器)等軟件中發(fā)現(xiàn)了一些技術漏洞，漏洞數(shù)量達20個。他表示，僅經(jīng)他本人發(fā)現(xiàn)的技術漏洞就高達20個，說明各大軟件開發(fā)商重 視軟件安全的力度還遠遠不夠。

在周三于加拿大溫哥華市舉行的2010年度 Pwn2Own大賽上，米勒對一臺蘋果MacBook Pro筆記本發(fā)起攻擊， 并攻破該筆記本所預裝Snow Leopard操作系統(tǒng)中的Safari瀏覽器。米勒因此獲得了1萬美元獎金，所攻破筆記本也歸他本人所有。

這也是米勒連續(xù)三次在Pwn2Own大賽上獲獎。他曾于2008年和2009年Pwn2Own大 賽上攻破蘋果Mac機。在米勒之前，還從未有任何參賽者在Pwn2Own大賽上連續(xù)三次獲獎。在去年的Pwn2Own大賽中，他僅用了10秒鐘時間，就成 功攻破大會主辦方提供的MacBook Pro筆記本。

不愿提供信息

米勒周四表示：“我們發(fā)現(xiàn)一個漏洞，他們(指軟件開發(fā)商)就發(fā) 布一個補丁程序，如此周而復始。這種方式并不會使軟件安全性能得以提高。不可否認，通過這種打補丁方式，相應軟件安全性能確實也有所提高，但這些軟件性能 應該有更大程度的改善和提高。我卻無法使他們做到這一點。”

米勒使用僅有數(shù)項代碼的 檢測工具，通過插入數(shù)據(jù)方式，以檢測相關軟件是否存在技術漏洞。不僅外部研究人員使用此類工具，軟件開發(fā)商在調(diào)試軟件過程中，也經(jīng)常使用這種檢測方式。雖 然這些軟件在出廠前已經(jīng)經(jīng)過了大量技術測試，但米勒還是找出了蘋果Mac OS、微軟Office以及Adobe Reader等軟件共計20個技術漏洞。

米勒將在本年度CanSecWest安全大 會(注：與Pwn2Own大賽在同一時間和地點舉行)上發(fā)表演講，他希望蘋果、微軟和Adobe等廠商認真聽取他如何查找軟件漏洞的思路和方法。

米勒說：“由于我不愿向廠商提供技術漏洞的詳細信息，外界可能將指責我人品有問題。但我個人看法 是，本來就不應該將這些漏洞細節(jié)提供給他們。我會說出自己如何查找漏洞的方法，這樣就能促使軟件開發(fā)人員進行更多技術測試工作。”

輕松查找漏洞

米勒還表示，自己查找軟件漏洞非常容易，這本身就說明軟件開發(fā)商對軟件安全性能重視程度還遠遠不 夠，“或許有人說我是在吹牛，我其實也沒有那么聰明，但只要進行少量工作，我仍能發(fā)現(xiàn)軟件漏洞。我能夠查找出大量漏洞，這種情況令人感到沮喪。”

米勒認為，如果微軟、蘋果及Adobe等軟件廠商重視軟件安全性能，只要多進行軟件測試工作，這 些廠商原本自己就能發(fā)現(xiàn)大量技術漏洞，而無需等到外部研究人員來查找相應漏洞，“我并不是說這些軟件廠商沒有做這方面的工作，而是說他們沒有將這些工作做好。”

米勒最后指出，由于自己不會向微軟等廠商提供所發(fā)現(xiàn)漏洞技術詳情，各軟件廠商 將被迫依照他的思路來還原這些漏洞的生成機制，從而最終促進各軟件開發(fā)商進一步重視產(chǎn)品安全性能。