Pwn2Own黑客大赛挖出Firefox、Edge内9个漏洞

　　在近期召开的Pwn2Own黑客大赛上，Edge、Safari、Firefox多款主流浏览器相继沦陷，其中Firefox和Edge浏览器则一共曝出了9个安全漏洞。有3个团队相继完成了漏洞利用，抱走了约27万美元的奖金。

　　Fluoroacetate团队

　　其中，在第即成功攻击Safari浏览器的Fluoroacetate团队先是锁定Firefox浏览器，然后诱导使用者访问恶意网站，即可通过浏览器的即时编译(JIT)漏洞以及Windows核心的越界写入(Out-of-Bounds Write)漏洞取得系统的控制权，而让Fluoroacetate获得5万美元的奖金。

　　接着Fluoroacetate执行另一项更为艰巨的任务，自VMware Workstation客户端开启Microsoft Edge以浏览该团队所特制的恶意网站，目标是在底层平台执行任意程序。他们相继利用了Edge中的类型混淆(Type Confusion)漏洞、Windows核心的竞争条件(Race Condition)漏洞，以及VMware Workstation的越界写入漏洞成功展示了攻击，抱走13万美元的大奖。

　　另一个参赛者Niklas Baumstark则通过Firefox的即时编译与逻辑错误漏洞执行了沙箱逃逸，在实际的应用上，相关漏洞将允许骇客于目标系统上以既有使用者的权限执行程式，获颁4万美元奖金。

　　锁定Edge展开攻击的Arthur Gerkis则先开采了渲染引擎的内存重复释放漏洞，再通过逻辑错误漏洞绕过了Edge的沙箱保护，赢得5万美元奖金。

　　【虽然这些黑客在比赛过程赚取了数十万美元，但黑客们通过成功入侵macOS上的Safari、Windows 10上的Edge和Firefox浏览器，再次向人们证明了世界上是没有一个完全安全的系统的。而无论厂商修复多少漏洞，明年黑客依然会找到新的漏洞。因此对于未知网页的访问，用户显然需要有更大的提防心了。】