本周三举行的年度 Pwn2Own 黑客大赛上，趋势科技举办的 Zero Day Initiative（ZDI）活动上，有两起针对苹果 Safari 浏览器的攻击，其中一次取得了成功。根据博客分享的细节，来自 phoenhex 的 Samuel Groß 利用包含 macOS 提权漏洞的三个 BUG 链成功入侵了 Safari。 根据官方新闻稿提供的细节，这个漏洞还能对 MacBook Pro上TouchBar 的文本进行篡改。凭借着这个 BUG 链，Groß 成功的获得了 6.5 万美元，并以 6 分的成绩获得了梦寐以求的“ Master of Pwn ”头衔。 去年 11 月举办的 Mobile Pwn2Own 大会上，曾经利用两个 Safari BUG 绕过 iPhone 7 安全协议的 Richard Zhu 在本次大会上尝试利用 Safari 漏洞发起攻击的。但是遗憾的是，在本届 Pwn2Own大 会上，Zhu 无法在规定的 30 分钟时间内从沙箱中逃脱。 不过，Zhu 成功利用 Windows 内核 EoP 破解了微软 Edge，使用了两个 UAF 漏洞和整数一处漏洞。Groß 的 phoenhex 队友 Niklas Baumstark 成功对 Oracle VirtualBox 发起攻击。 稿源：cnBeta，封面源自网络；

日本网络安全公司 Trend Micro 近期公布第六届移动 Pwn2Own 黑客大会将于今年 11 月 1-2 日在东京 PacSec 安全会议上举行。这次的移动 Pwn2Own 黑客大会是 Trend Micro Zero Day 计划的一部分，即专门向安全人员提供奖励。然而，想要获得奖励，需要找到苹果、谷歌、三星和华为等公司系统软件中的安全漏洞。 Pwn2Own 黑客大会的奖励金额超过 50 万美元，根据安全漏洞的不同，奖金也随之变化。Safari 漏洞奖励金额高达 4 万美元，而 SMS 短信安全漏洞奖励金额高达 6 万美元，基带安全漏洞奖励 10 万美元。今年的目标设备包括 iPhone 7、三星 Galaxy S8、谷歌 Pixel、华为 Mate 9 Pro，这些设备都将运行最新版的 iOS 或 Android 系统，同时安装最新的安全补丁。 除了标准的安全漏洞种类和奖金，获得内核权限，并执行代码后，还可以获得 2-5 万美元的额外奖金。苹果公司代表过去也曾参加  Pwn2Own 黑客大会。如果发现了 iOS 相关的安全漏洞，苹果将有 90 天的时间进行修复。在今年早些时候举行的第十届 Pwn2Own 黑客大会上，安全研究人员发现了 macOS Sierra 的安全漏洞，其中 Safari 的漏洞允许黑客在 Touch Bar 上显示滚动信息。 稿源：cnBeta、MacX，封面源自网络；

第十七届年度 CanSecWest 安全会议正在加拿大不列颠哥伦比亚省温哥华市中心举行，研究人员正在竞争夺取 10 周年 Pwn2Own 计算机黑客大赛的冠军，并获得获得超过 100 万美元的奖金。第一天的结果已经在“零日计划网站”上公布。 独立黑客 SamuelGroß 和 Niklas Baumstark 取得了成功，并获得了 2.8 万 美元将近。 黑客们成功的通过 Safari 浏览器的漏洞在 macOS 上获得了 Root 权限，并在 Touch Bar 版 MacBook Pro 上滚动显示信息。同时，Chaitin 安全实验室也攻破了 Safari，并在 macOS 系统获得了 Root 权限。他们在破解过程中找到了 6 个 Bug，并获得了3.5万美元奖金。 参加 Pwn2Own 黑客大会的团队们第一天一共拿到了23.3万美元奖金，其中腾讯安全团队拿到了10.5万美元奖金。 腾讯安全战队代表中国，与美国、法国、韩国、澳大利亚等 11 支国际安全战队过招。截至目前，第一天的各项比赛结果已经尘埃落定，腾讯安全战队 10 秒首破微软 Edge 浏览器，并 3 秒完美攻破了AdobeReader ，获得共计 10.5 万美元奖金，以总分 16 分领跑首日积分榜。 其他成功被攻破的软件包括 Adobe Reader、Ubuntu 桌面版和 Windows 系统的微软 Edge 浏览器。苹果公司代表也参加了这次黑客大会，被发现的安全漏洞将很快被苹果修复。 稿源：据 cnBeta、21cn 整理；封面源自网络