Pwn2Own黑色两分钟 win7安全性遭质疑

日期: 2010-03-30 来源:TechTarget中国

  据国外媒体报道,本周二,微软正式回应Windows 7被黑客攻破事件,官方对Windows 7保持乐观态度,并强调系统中的DEP、ASLR等防护机制仍然发挥作用。

  上周,加拿大温哥华举行了2010年度《Pwn2Own黑客大赛》。据主办方安全软件公司3ComTippingPoiny透露,两天不到的时间内,iPhone/Safari/IE8/Firefox等产品均已被攻破,其中IE 8只坚持了2分钟。

  大会参赛者彼得·付登希尔利用“technically impressive”攻击代码绕过IE 8中的DEP动态数据保护功能,成功入侵后获得1万美元的奖金。赛后接受采访时,彼得表示面对微软号称最安全的操作系统Windows 7,他并没有害怕,在耗费数天时间研究后终于找到绕过防护机制的方法,实施一次成功的入侵。迫于大会规定,彼得并没有透露更多细节。

Pwn2Own黑色两分钟 win7安全性遭质疑

  黑客彼得展示的部分代码

  对此,IE高级产品经理皮特·莱佩吉表示,以IE保护模式中的“Defense-in-depth”技术为例,该策略并不能保证拦截每一次攻击,它只能保护漏洞尽量不被利用。

  据悉,DEP(数据执行保护)是微软在2004年发布XP SP2中新添的安全机制,为了防止数据页执行代码;

  而另一项ASLR(地址空间配置随机化)技术,可以每次在电脑启动的时候将密钥系统文件加载到不同的存储位置,使得恶意代码很难顺利运行,从而防止恶意代码利用缓冲溢出发起攻击。

  去年夏天,微软安全响应中心专家罗伯特·亨辛就发出警告,他认为DEP技术只是一种缓冲攻击的工具,无法100%防御电脑。

  不过,着名的Mac黑客查理·米勒承认,由于DEP/ASLR等技术的存在,实施攻击变得比以前更加困难了。他希望通过行动向人们证明:世界上目前还不存在“无须打补丁”的操作系统。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 2015 Pwn2Own黑客大赛:浏览器漏洞利用成焦点

    浏览器安全状态一直很不稳定,今年Pwn2Own黑客大赛的比赛结果再次证明了这个现实。今年的比赛总共向研究人员支付552500美元的奖金,共发现7个主流浏览器和应用中的21个漏洞。

  • 详解Web服务器安全攻击及防护机制

    Web服务器攻击常利用Web服务器软件和配置中的漏洞,针对这些漏洞最佳做法是遵循一些方法搭建并运行Web服务器,本文详解了Web服务器保护的一些方法。

  • 谷歌在Android 4.0中应用ASLR为提高安全性

    据谷歌Android 4.0平台相关重要说明文件描述,为使移动设备操作系统更耐攻击,谷歌公司将向Android 4.0 Ice Cream Sandwich系统中应用ASLR技术。

  • IE 9的安全性高于其他浏览器?

    据NSS实验室最近的一份报告,微软的IE 9比起其他浏览器更不容易受到感染。多年来,我一直建议我们的终端用户使用Firefox,因为它比IE安全。难道我要改变我的建议了?