世界駭客大賽：蘋果Mac潛伏近30年“骨灰級”漏洞

正在加拿大溫哥華進行的Pwn2Own世界駭客大賽上，代表中國參賽的360安全戰隊轟動全場。在遠端攻破蘋果Safari流覽器的比賽中，他們以一個MacOS裡潛伏近30年的“骨灰級”漏洞獲得內核ROOT許可權，一舉贏得該項目滿分。目前，360在已經參賽的Adobe Reader、Adobe Flash、蘋果MacOS和Safari四大專案中全部滿分奪冠，在大賽積分榜和獎金榜上雙雙排名榜首。

Pwn2Own官方積分榜：360排名榜首

360安全戰隊負責人鄭文彬介紹說，在Pwn2Own的歷史上，以往獲得蘋果MacOS內核ROOT許可權至少要使用兩個甚至更多的漏洞，但此次360安全戰隊使用的是MacOS早期版本就存在的機制級漏洞，僅用一個漏洞就獲得內核ROOT許可權。作為比賽裁判的蘋果公司安全負責人對此極為震驚，這也是迄今被發現影響時間最長的高危漏洞。

360安全戰隊在Pwn2Own大賽遠端攻破蘋果Safari流覽器並獲得內核ROOT許可權

以封閉著稱的蘋果系統一直非常重視安全，每次版本升級時都會有針對性地修補漏洞，以確保系統達到最佳安全狀態。但是在頂級駭客的攻擊視野中，系統早期版本遺留下的代碼往往會暴露出令人意想不到的安全問題。

MacOS早期版本就存在的漏洞已潛伏近30年

鄭文彬介紹說，360在本屆駭客大賽中使用的所有漏洞細節和攻擊代碼都會第一時間提交給廠商官方，幫助蘋果、微軟和Adobe等系統和基礎軟體發現和修復漏洞，保護用戶更安全地上網。

根據Pwn2Own大賽規則，每支戰隊可以挑戰不同的比賽專案，總積分最高的戰隊將獲得“Master of Pwn”（破解大師）世界冠軍榮譽。在之前進行的比賽中，360安全戰隊率先攻破了Adobe Reader和Adobe Flash，並獲得Flash專案的Windows系統最高許可權加分。此後，360又在Pwn2Own上首次挑戰蘋果產品，先後攻破MacOS和Safari流覽器，再獲Safari專案的內核ROOT許可權加分，在已經參賽的四大專案中全部獲得冠軍。

據悉，360安全戰隊以360安全衛士攻防研究團隊360Vulcan Team、360代碼衛士和虛擬化研究團隊360Marvel Team的成員為主，在此前Pwn2Own、PwnFest等世界駭客賽場上屢獲冠軍，創下了中國首次攻破Chorme、亞洲首次攻破IE、全球首次攻破VMware等一系列記錄。在2016年，360一共408次獲得國際廠商漏洞公告致謝，漏洞報告數量排名世界第一。

Pwn2Own是歷史最悠久的國際性駭客破解賽事，由美國五角大樓網路安全服務商TippingPoint旗下的ZDI項目組主辦。今年正值Pwn2Own十周年，吸引了來自中國、德國、美國等國家的11支團隊參賽，是規模最大、專案最多、獎金最高的駭客巔峰之戰。

針對中國團隊在Pwn2Own大賽上的優秀表現，賽事主辦方ZDI的負責人Dustin C. Childs表示，“360的表現非常出色和專業。現在，中國的駭客水準完全是世界頂級的。臺上或許只有幾秒鐘的破解時間，但台下需要無數個小時的努力。我們希望通過Pwn2Own比賽，和各大團隊、廠商一起持續改善產品安全，改善網路安全”。