谷奥——探寻谷歌的奥秘

Pwn2Own是一个安全研究人员的大会，只要在一天内成功入侵电脑即可获得现金和硬件大奖。Windows 7上的IE8、Windows 7上的Firefox 3、Mac OS X 10.6上的Safari 4和iPhone OS 3都在这次比赛中落马。唯有Google的Chrome保持不败金身──实际上，根本没有人在比赛中试图入侵Chrome。

iPhone在去年并没有被成功入侵，但是今年却落马了。德国Zynamics公司的Vincenzo Iozzo和卢森堡大学的博士后Ralf-Philipp Weinmann利用Safari的漏洞通过短信直接获得了控制权。

Peter Vreugdenhil成功入侵了IE8，它还发表了绕过DEP和ASLR保护的简单方法和视频。

对Safari的入侵来自Charlie Miller，他已经连续三年成功拿下Safari了。

可惜的是对Firefox的入侵方法没有被披露。另外，Opera再一次被滑腻腻滴忽略鸟～～～～

不管是iPhone还是IE8的入侵都逃过了操作系统提供的沙盒。如果扰不过沙盒的话，漏洞的影响就会降低甚至被阻止，比如写入硬盘这个恶意软件常用的操作，不过如果可以读硬盘的话还是可以偷到数据。

Chrome的沙盒很好的保证了自己的金身，甚至没有人想去入侵它。当然也不是说Chrome就没有安全问题──在Pwn2Own比赛之前几天Google发布了一个更新修复了大量安全问题，有些是非常高危级别的。当然，Google的沙盒也并不是坚不可摧的，但它确实有效的阻止了入侵。

Via Chrome Plugins and ars technica

Related posts

• 键盘爱好者的 Chrome 扩展 Vimium
• Chrome 插件：日程管理/任务提醒 更新 增加多功能秒表
• 【快乐周末】Chrome 新的崩溃界面：吉姆已死，有事儿烧纸
• 传 Google 要开源 VP8 以统一 HTML 5 视频编码，Apple 和微软是个难题
• Chrome 升级 Stable 和 Beta 分支到 2.0.172.33
• Google 正在打造一个可统领所有网页操作的 Web Intents API
• Google Chrome 发布会总结：Web Store / Chrome OS / 螃蟹本
• Google 2012 大预言
• 全平台 Chrome Dev 升级到 7.0.517.5
• 全平台的 Chrome Dev 升级到 10.0.612.1，云打印从实验室毕业