世界黑客大赛：苹果Mac潜伏近30年“骨灰级”漏洞

正在加拿大温哥华进行的骨灰级Pwn2Own世界黑客大赛上，代表中国参赛的世界360安全战队轰动全场。在远程攻破苹果Safari浏览器的黑客比赛中，他们以一个MacOS里潜伏近30年的大赛洞“骨灰级”漏洞获得内核ROOT权限，一举赢得该项目满分。苹果目前，伏近360在已经参赛的年漏Adobe Reader、Adobe Flash、骨灰级苹果MacOS和Safari四大项目中全部满分夺冠，世界在大赛积分榜和奖金榜上双双排名榜首。黑客

Pwn2Own官方积分榜：360排名榜首

360安全战队负责人郑文彬介绍说，在Pwn2Own的苹果历史上，以往获得苹果MacOS内核ROOT权限至少要使用两个甚至更多的伏近漏洞，但此次360安全战队使用的年漏是MacOS早期版本就存在的机制级漏洞，仅用一个漏洞就获得内核ROOT权限。骨灰级作为比赛裁判的苹果公司安全负责人对此极为震惊，这也是迄今被发现影响时间最长的高危漏洞。

360安全战队在Pwn2Own大赛远程攻破苹果Safari浏览器并获得内核ROOT权限

以封闭著称的苹果系统一直非常重视安全，每次版本升级时都会有针对性地修补漏洞，以确保系统达到最佳安全状态。但是在顶级黑客的攻击视野中，系统早期版本遗留下的代码往往会暴露出令人意想不到的安全问题。

MacOS早期版本就存在的漏洞已潜伏近30年

郑文彬介绍说，360在本届黑客大赛中使用的所有漏洞细节和攻击代码都会第一时间提交给厂商官方，帮助苹果、微软和Adobe等系统和基础软件发现和修复漏洞，保护用户更安全地上网。

根据Pwn2Own大赛规则，每支战队可以挑战不同的比赛项目，总积分最高的战队将获得“Master of Pwn”（破解大师）世界冠军荣誉。在之前进行的比赛中，360安全战队率先攻破了Adobe Reader和Adobe Flash，并获得Flash项目的Windows系统最高权限加分。此后，360又在Pwn2Own上首次挑战苹果产品，先后攻破MacOS和Safari浏览器，再获Safari项目的内核ROOT权限加分，在已经参赛的四大项目中全部获得冠军。

据悉，360安全战队以360安全卫士攻防研究团队360Vulcan Team、360代码卫士和虚拟化研究团队360Marvel Team的成员为主，在此前Pwn2Own、PwnFest等世界黑客赛场上屡获冠军，创下了中国首次攻破Chorme、亚洲首次攻破IE、全球首次攻破VMware等一系列记录。在2016年，360一共408次获得国际厂商漏洞公告致谢，漏洞报告数量排名世界第一。

Pwn2Own是历史最悠久的国际性黑客破解赛事，由美国五角大楼网络安全服务商TippingPoint旗下的ZDI项目组主办。今年正值Pwn2Own十周年，吸引了来自中国、德国、美国等国家的11支团队参赛，是规模最大、项目最多、奖金最高的黑客巅峰之战。

针对中国团队在Pwn2Own大赛上的优秀表现，赛事主办方ZDI的负责人Dustin C. Childs表示，“360的表现非常出色和专业。现在，中国的黑客水平完全是世界顶级的。台上或许只有几秒钟的破解时间，但台下需要无数个小时的努力。我们希望通过Pwn2Own比赛，和各大团队、厂商一起持续改善产品安全，改善网络安全”。