【2022 年 12 月 29 日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 公布 Zero Day Initiative (ZDI) 漏洞懸賞計畫的秋季 Pwn2Own 駭客大賽優勝者。整場活動總共頒發高達 989,750 美元的獎金,收購了 63 個非重複零時差漏洞。這些漏洞若被不肖駭客開發成武器,其造成的時間、資料與財物損失可能為世界帶來 10 倍的衝擊。
了解有關 Pwn2Own Toronto 駭客大賽的更多資訊以及決賽優勝者
趨勢科技 ZDI 威脅意識提升總監 Dustin Childs 指出:「身為一家資安廠商,我們不僅有責任保護我們的客戶,同時也有義務讓我們生活和工作的數位連網世界變得更安全。今年的 Pwn2Own 揭露了大量的漏洞,徹底實踐了這項使命,但也突顯出分散式人力所造成日益嚴重的資安威脅。」
繼續閱讀【2022 年5月 26 日,台北訊】 全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 於上週(5月18日至5月20日)舉辦 Pwn2Own 駭客大賽展現科技創新實力,全球 10 億以上的企業及一般使用者都將因此競賽而獲得更優異的資安防護。
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫每年都會舉辦這項大賽,今年是Pwn2Own的第 15 屆,總共提供 115萬5千美元的獎金來獎勵參賽的產業研究人員,為包括Microsoft、Tesla、Zoom等合作夥伴與贊助商VMware在內的軟體廠商揭露了 25 個零時差漏洞。
繼續閱讀
在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。
過去十年來,Pwn2Own已經成為安全研究的根源
更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。
不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。
如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。 繼續閱讀