【news】Pwn2Own瀏覽器駭客競賽，Apple Safari遭秒殺

年度駭客競賽Pwn2Own，本週在加拿大溫哥華舉行。來自全球各地的駭客齊聚一堂，分組向主辦單位指定的Microsoft IE、Appple Safari、Mozilla Firefox和Google Chrome四種瀏覽器展開進攻。
以往被評價為安全性最差的IE，今年在淘汰區有伴了。來自法國的資訊安全研究事務所VUPEN，從競賽開始只花五秒鐘，就宣布攻破Safari，為Apple的軟體安全評價留下了一筆難堪的紀錄。

Pwn2Own 駭客競賽從2007年起，每年以上萬美元的獎金，號召全世界駭客和安全專家共襄盛舉。駭客們在賽前選擇好目標軟體，鑽研其中的安全漏洞。比賽時，每一組必須於30分鐘之內，在主辦單位提供的電腦上攻破目標軟體，成功者將獲贈一到兩萬美元不等的獎金。比賽結束之後，主辦單位會彙整這些安全漏洞，交由各家軟體公司參考補救。

Pwn2Own 競賽的目的，是為了提高業者和大眾對於軟體安全的警覺，同時，也希望藉此防範真正的駭客，利用這些安全漏洞來進行網路犯罪。
這項競賽不僅受到媒體關注，業者也相當看重這個改善軟體安全的機會。對Safari安全性十分有自知之明的Apple，趕在競賽公佈之前發佈新版Safari 5.0.4，修補了62個安全漏洞。另一方面，Google則對Chrome信心滿滿，特別和Pwn2Own主辦單位合作，宣布每組攻破Chrome的駭客，都可以獲得Google五千塊美元加碼。
最後，報名挑戰Google Chrome的兩組安全專家，都選擇了臨陣脫逃，讓Chrome從競賽當中全身而退。而Firefox則通過了駭客考驗，在競賽當中倖存。

★此篇文章出處網址★

[必看]你的 PC 安全嗎？零時弱點網站告訴你

你的 PC 安全嗎？零時弱點網站告訴你

你認為自己的電腦有多安全？你可能只依賴微軟和蘋果等軟體商，不定時地通知你安裝更新。但在修補程式發佈前，已知漏洞（或稱零時差弱點）已讓你的電腦坐待攻擊。透過電郵和不經意瀏覽的網站，惡意程式即可潛入你的電腦。


EEye Digital Security日前成立一個列出已知零時差弱點，並提供既有修補程式資料庫的網站。 Zero Day Tracker集結了已公開之安全漏洞訊息，包括受影響的軟體、嚴重程度、潛在衝擊、替代方案和其他防護方法的建議。

eEye共同創辦人兼技術長Marc Maiffret表示，這個免費網站提供零時差資訊的「一站式服務」。他說：「長期以來，唯一提供零時差訊息的公司就是微軟，Adobe則是最近才加入。但還有許多公司的零時差弱點都沒有被通報。」

目前使用最廣泛的軟體弱點資料庫，是美國國土安全部轄下國家網路安全部/US-CERT贊助、美國國家標準與科技協會負責管理的國家弱點資料庫（National Vulnerability Database）。但你必須自己搜尋資料，查看哪些弱點尚未修補。

Zero Day Tracker以時間順序，列出尚未修補的漏洞。目前有21個零時差漏洞，除了兩個分別出自2006年和2005年，其餘全是2010年才曝光的弱點。2005年11月曝光的漏洞，影響Windows 2000系統。Maiffret說：「一如預期，微軟是2010年未修補零時差弱點最多的公司。」前一年也是，但Adobe有急起直追之勢。

針對蘋果系統被列出的弱點稀少，Maiffret表示，那反映出蘋果的市場比Windows小很多，不代表Mac軟體較安全。他說：「與微軟和微軟相關的軟體相比，蘋果的零時差弱點少很多，但那絕不代表Mac沒有弱點。」攻擊者寧願把時間和精力花在90%的使用者身上。

Adobe最近剛修補一個Flash Player的零時差弱點，微軟也用緊急更新，防堵一個散播Stuxnet蠕蟲的漏洞。Stuxnet可利用三個Windows弱點散播，微軟上週解決了一個，還有兩個弱點未補。

Zero Day Tracker也將納入行動軟體的弱點資訊。Maiffret表示：「其中一種iPhone越獄技巧，就是利用一個PDF弱點。那只是行動平台零時差弱點的一個例子。」

除了提供資訊和好用的資源，Maiffret希望公開這些弱點，能促使軟體商儘速修補。他說：「我們要對軟體商施壓。」該公司的資料來源包括軟體商、安全公司，和自行監看地下與海外論壇。Maiffret表示：「我們的消息根據之一，是某個中文討論區的對話。」

軟體商在公布安全漏洞時，通常會宣稱尚未發生大規模攻擊，藉此安撫顧客。但針對Windows、Adobe Reader或IE這類廣泛使用的軟體，攻擊程式的出現和散佈，通常就在弱點曝光的一天之內。

例如上週五，微軟警告其用來製作網站的ASP.NET架構有一嚴重漏洞，但尚未有任何相關攻擊。到週一（20日），微軟便更新其安全公告，表示已發生「有限、主動的攻擊」。

這類攻擊也可能隱藏甚久不被發現。例如透過某個IE漏洞，鎖定Google和數十家公司的Operation Aurora攻擊。Google在2010年1月公佈時，宣稱前一個月才發現，但另一個分析顯示，該攻擊行動在5個月前被初次偵測到，但當時可能鎖定不同的公司。Maiffret說：「這項弱點在業者發現之前就被利用。有大量的攻擊是我們不知道的，而我們通常是意外發現它們的存在。」（陳智文/譯）

★eEye Digital Security(零時弱點網站)★
★新聞出處網址★

[news]Adobe Reader、Acrobat安全更新防堵17項重大漏洞

Adobe周二發布Reader和Acrobat安全更新，封堵總計17項重大的安全漏洞，其中一項安全漏洞可能造成電腦遭到接管，另一項可能被駭客利用來發動社交工程與PDF檔攻擊。


Adobe早在6月初即警告這些安全漏洞可能被駭客利用來發動攻擊，並已在6月10日修補影響Flash Player的安全漏洞。


同時，資安研究員Didier Stevens在3月下旬揭露上述PDF安全漏洞，並展示如何利用"/launch"功能來發動攻擊。一周後，另一位NitroSecurity公司的資安研究員也示範如何利用同一個安全漏洞發動攻擊。



Adobe員工Steve Gottwals周二在部落格撰文說：「我們增加了一項功能，在預設狀態即可攔阻啟動可執行檔或其他有害的物件。我們也修改現行警告對話框的運作方式，以阻擋已知的社交工程攻擊。」


根據安全公告，最新釋出的安全更新適用於Windows、Mac和Unix版的Adobe Reader 9.3.2、Windows和 Mac版的Adobe Acrobat 9.3.2，以及Windows和Mac版的Adobe Reader 8.2.2與Acrobat 8.2.2。


上述更新將取代原訂7月13日釋出的每季例行安全更新。下一次更新訂於10月12日發布。 


新聞出處網址：http://www.zdnet.com.tw/news/software/0,2000085678,20146398,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8