Pwn2Own亮点：Safari遭攻陷 Mac被接管

　　在刚刚结束的2019年Pwn2Own黑客大赛上，苹果Safari成为众矢之的，遭到两次成功入侵，其中一次攻击更直接接管了Mac电脑。

　　在由Amat Cama与Richard Zhu组成的Fluoroacetate锁定Safari浏览器的攻击行动中，他们利用浏览器的整数溢位漏洞与堆积溢位漏洞成功地执行了沙箱逃逸，获得5.5万美元奖金。

　　同样锁定Safari展开攻击的phoenhex&qwerty团队，则成功示范了如何借由攻陷Safari接管Mac系统。他们设计了一个恶意网站，当以Safari访问该站时，他们执行了两次越界读取(Out-of-Bounds Read)攻击，以触发一个即时编译(JIT)漏洞，再利用“检查至使用的时间差”(“Time of Check” to “Time of Use”)漏洞扩张权限，得以接管受害者的Mac系统。由于苹果已得知该团队所利用的其中一个安全漏洞，使得phoenhex & qwerty仅赢得了4.5万美元的奖金。

　　Pwn2Own竞赛的首日成果，还包括Fluoroacetate与STAR Labs成功攻陷甲骨文的VirtualBox，双双抱走3.5万美元奖金，Fluoroacetate也破解了VMware Workstation的安全机制而得以在主要操作系统上执行任意程序而赢得7万美元的大奖。

　　【当天光是Fluoroacetate就抱回16万美元的奖金，为首日的大赢家，成为角逐“破解大师”(Master of Pwn)最热门的团队。而在比赛最后该团队还发现了特斯拉Model 3系统中的漏洞，赢得了这台Model 3。】