苹果补丁PWN2OWN BUG

今天Apple今天修补了一名安全研究员使用的关键Mac OS X脆弱性,三周前赢得了10,000美元,以便在PWN2OWN比赛中抢劫野生动物园。

今天Apple今天修补了一名安全研究员使用的关键Mac OS X脆弱性,三周前赢得了10,000美元,以便在PWN2OWN比赛中抢劫野生动物园。

从PWN2OWN比赛中吸取的安全教训

该补丁是第四届年度PWN2所产生的第二次,该委员会在不列颠哥伦比亚省温哥华的CANSECWEST安全会议上举行,3月24日至26日。

在比赛的第一天,基于巴尔的摩的独立安全评估员的分析师查理米勒, 劫掠的野生动物园 在Mac OS x 10.6上运行,又名 雪豹 。米勒是唯一一个在PWN2WOWN赢得三次的研究人员。

今天,米勒确认了这种脆弱性 苹果 补丁是他上个月使用的那个赚取10,000美元的奖金。 “这一定是它,”他说。 “我没有给他们任何其他错误。”

事实上,米勒拒绝透露在会议期间在Apple的操作系统中发现的额外错误,而是发表了如何使用“愚蠢的模糊”技术在Adobe,Apple和Ade的推出超过20个可利用漏洞中的展示 微软 软件。在演示期间,米勒认为,安全是“破碎的纪录”,并表示,从长远来看,它更加有效,只是展示了公司如何复制他的工作。

“我能做的就是告诉他们如何找到这些错误,并做我所做的事情。这可能让他们做更多的模糊,”米勒在一次采访中说。他维持了,将导致更安全的软件。

苹果削减了与去年相比,在比赛中攻击Mac OS X时,将米勒的PWN2OWN BUG陷入半以上的时间超过一半。 2009年,苹果花了55天 修复缺陷 ;今年,它需要21天。

“这很快,”今天米勒说。 “这不像是匆忙。我没有告诉任何人的错误。”

PWN2WOWS规则要求研究人员保持安静,直到他们的漏洞修补。 3Com TippingPoint赞助比赛,购买漏洞和利用研究的所有权利,它转向供应商。 TippingPoint还保持妈妈,直到释放补丁。

“如果他们已经采取了四个月或更长时间,那就不会缺乏问题,”米勒补充道。

根据Apple的说法,漏洞利用的漏洞米勒在ATS(Apple类型服务)中,包括Mac OS X的字体渲染器。“查看或下载包含恶意制作的嵌入字体的文档可能导致任意代码执行,”Apple在此处表示伴随单补丁更新的咨询。 “Apple类型服务”嵌入式字体的处理“中存在未选中的索引问题。”

米勒通过Apple的Safari浏览器挖掘ATS,它访问ATS代码库来绘制文本。去年,米勒也在PWN2OWN开发了ATS。

苹果不是第一个补丁一个PWN2OWN错误的错误。莫扎拉观看了它的Firefox浏览器在同一天米勒匆匆的野生动物园落下,发出了一个在比赛结束后八天的4月1日修复了漏洞缺陷的更新。 Mozilla今年还增加了补丁速度,去年的时间击败了两天。

微软没有发布 Internet Explorer 8(IE8)补丁 ,3月24日PWN2OWN研究人员黑客攻击的第三台桌面浏览器。Apple还必须更新其iPhone软件,即可将一对黑客使用的孔打开,以便在PWN2OWN的标志性智能手机中闯入。 Vincenzo Iozzo和Ralf-Philipp Weinmann为他们的努力赢得了15,000美元。

安全更新,它适用于雪豹和豹子,或Mac OS X 10.5,可以是 从Apple网站下载 或使用Mac OS X的集成更新服务安装。更新范围为6.5MB的雪豹为218MB用于豹和379MB,适用于Leopard服务器。

GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在@Gkeizer上关注Twitter或订阅Gregg的RSS Feed。他的电子邮件地址是[email protected]

阅读更多关于安全的信息 在Computerworld的安全知识中心。

这个故事,“Apple Patches Pwn2own Bug”最初发布 Computerworld..

版权© 2010 IDG通讯,Inc。