黑客大赛获奖者拒绝向微软苹果提供漏洞详情

ugmbbc发布于 2010-03-26 10:36:32|5180 次阅读 字体：大 小 打印预览


已连续三年在Pwn2Own黑客大赛获奖的黑客查理·米勒(Charlie Miller)周四表示，他不会向微软、苹果及Adobe提供自己所发现相应软件漏洞的技术细节信息，而会向这些厂商提供自己查找软件漏洞的“思路”，以 促使微软等厂商自行提高软件的安全性能。米勒此前陆续在苹果Mac OS操作系统、微软Office办公套件以及Adobe Reader(PDF文件阅读器)等软件中发现了一些技术漏洞，漏洞数量达20个。他表示，仅经他本人发现的技术漏洞就高达20个，说明各大软件开发商重 视软件安全的力度还远远不够。


在周三于加拿大温哥华市举行的2010年度 Pwn2Own大赛上，米勒对一台苹果MacBook Pro笔记本发起攻击， 并攻破该笔记本所预装Snow Leopard操作系统中的Safari浏览器。米勒因此获得了1万美元奖金，所攻破笔记本也归他本人所有。

这也是米勒连续三次在Pwn2Own大赛上获奖。他曾于2008年和2009年Pwn2Own大 赛上攻破苹果Mac机。在米勒之前，还从未有任何参赛者在Pwn2Own大赛上连续三次获奖。在去年的Pwn2Own大赛中，他仅用了10秒钟时间，就成 功攻破大会主办方提供的MacBook Pro笔记本。

不愿提供信 息

米勒周四表示：“我们发现一个漏洞，他们(指软件开发商)就发 布一个补丁程序，如此周而复始。这种方式并不会使软件安全性能得以提高。不可否认，通过这种打补丁方式，相应软件安全性能确实也有所提高，但这些软件性能 应该有更大程度的改善和提高。我却无法使他们做到这一点。”

米勒使用仅有数项代码的 检测工具，通过插入数据方式，以检测相关软件是否存在技术漏洞。不仅外部研究人员使用此类工具，软件开发商在调试软件过程中，也经常使用这种检测方式。虽 然这些软件在出厂前已经经过了大量技术测试，但米勒还是找出了苹果Mac OS、微软Office以及Adobe Reader等软件共计20个技术漏洞。

米勒将在本年度CanSecWest安全大 会(注：与Pwn2Own大赛在同一时间和地点举行)上发表演讲，他希望苹果、微软和Adobe等厂商认真听取他如何查找软件漏洞的思路和方法。

米勒说：“由于我不愿向厂商提供技术漏洞的详细信息，外界可能将指责我人品有问题。但我个人看法 是，本来就不应该将这些漏洞细节提供给他们。我会说出自己如何查找漏洞的方法，这样就能促使软件开发人员进行更多技术测试工作。”

轻松查找漏洞

米勒还表示，自己查找软件漏洞非常容易，这本身就说明软件开发商对软件安全性能重视程度还远远不 够，“或许有人说我是在吹牛，我其实也没有那么聪明，但只要进行少量工作，我仍能发现软件漏洞。我能够查找出大量漏洞，这种情况令人感到沮丧。”

米勒认为，如果微软、苹果及Adobe等软件厂商重视软件安全性能，只要多进行软件测试工作，这 些厂商原本自己就能发现大量技术漏洞，而无需等到外部研究人员来查找相应漏洞，“我并不是说这些软件厂商没有做这方面的工作，而是说他们没有将这些工作做 好。”

米勒最后指出，由于自己不会向微软等厂商提供所发现漏洞技术详情，各软件厂商 将被迫依照他的思路来还原这些漏洞的生成机制，从而最终促进各软件开发商进一步重视产品安全性能。

腾讯科技编译