时间:2010-08-14 | 栏目:安全播报 | 点击:次
麦考雷是一位软件工程师,他利用苹果Safari浏览器中的某个零时安全漏洞成功破解了MacBook系统。他因为在CanSecWest大会举行的“PWN to Own”Mac破解比赛中获胜而赢得了一台MacBook笔记本电脑。
在大会比赛的最后一天,他通过诱使会议组织者登陆到某个恶意网站上,然后利用Safari浏览器中的零时漏洞成功攻入了Mac系统;这种攻击与针对Windows系统的攻击非常相似。CanSecWest大会一共提供了两台MacBook作为攻击目标和奖品,截至周五即大会比赛的第一天结束时,比赛组织者宣布两台MacBook都还未被攻破。
麦考雷与另一位名叫迪诺戴卓韦的安全研究员进行了合作。 戴卓韦以前曾经因在Mac系统中发现了大量安全漏洞而受到苹果的多次嘉奖,这次他花了整整一通宵9个小时的时间找到了Safari浏览器中的某个零时漏洞并编写出了攻击代码。
戴卓韦在接受电话采访时说:“这个安全漏洞和攻击代码是我发现的,沙恩是我的代言人。”
苹果女发言人林恩福克斯没有对MacBook被成功破解作任何特别评论,但是她重申了苹果的标准安全口号:“苹果公司非常重视安全问题,一贯坚持在漏洞对用户造成影响之前就将它们解决掉的优秀传统。”
戴卓韦打算向TippingPoint申请1万美元的漏洞奖金,因为后者在星期四宣布如果能够在苹果系统中发现一个以前从未发现过的漏洞并成功利用它攻破系统,就可以获得1万美元奖金。戴卓韦说:“沙恩可以得到那台笔记本电脑,我只想得到奖金。” TippingPoint一直在举办零时漏洞奖励计划。
TippingPoint公司代表声称,待公司确认那个漏洞确实是以前没有被发现的新漏洞之后,公司会支付奖金的。 TippingPoint公司的安全响应经理泰里福斯勒夫说:“如果它真的是Safari浏览器中的零时漏洞,我们肯定会支付奖金。”
就在这次成功攻入Mac系统的事件发生以前,苹果公司刚刚发布了今年的第四个Mac OS X系统的安全更新,修复了25个安全漏洞。
CanSecWest大会的组织者将作为攻击目标和奖品的两台MacBook与无线路由器相连,并安装了所有的安全更新,但是没有安装其他的安全软件或者设置。