“天府杯”会议期间,黑客因在大赛中发现多个零日漏洞获逾百万美元奖金。
据赛事组织者称,黑客共发现30个漏洞,获奖金102.4万美元。网络安全公司奇虎360团队囊获了其中大部分奖金,即62万美元。来自大学、腾讯与金融服务提供商蚂蚁金融的团队以及独立研究人员也参加了此次比赛。
“天府杯”PWN黑客大赛
发现iPhone X越狱与远程代码执行漏洞的参赛者获20万美元奖金,为最高获奖金额。
白帽黑客因发现两个Microsoft Edge漏洞,共获奖金12万美元,远程攻击者可利用这两个漏洞执行任意代码。
黑客还设计了两个Chrome漏洞利用链,共获奖金15万美元。
三个团队因发现Safari漏洞获奖金15万美元,其中包括因发现macOS零日漏洞所获取的10万美元。赛事组织者还为入侵VMware Workstation与Fusion支付了10万美元。
VMware漏洞可用于在客户机上执行Workstation主机的代码,该公司正努力研发以尽快提供补丁。
该iPhone X漏洞利用了Safari中的类型混乱实时(简称JIT)错误与iOS内核中的use-after-free漏洞。该组织向Apple通报了该漏洞,且表示在Apple发布修复程序后将分享技术细节。
黑客还展示了两个Oracle VirtualBox利用链,获奖金12万美元。
同时,发现三个Adobe Reader漏洞的参赛者共获奖金8万美元,发现Microsoft Office利用链的参赛者获奖金8万美元,该利用链同逻辑错误与内存损坏漏洞相关。
其他发现Vivo X23、OPPO R17及小米Mi 8智能手机工作漏洞的参赛者也获得了奖金。
最近,另一比赛“零日倡议”Pwn2Own Tokyo 2018的参赛者因发现影响iPhone X、小米Mi 6与三星Galaxy S9智能手机的漏洞获逾30万美元奖金。