3秒攻破Adobe公司阅读器挖出苹果系统“骨灰级”漏洞

中国战队包揽世界黑客大赛前三

截至当地时间16日，在加拿大温哥华举行的Pwn2Own世界黑客大赛排名中，中国360、腾讯、长亭科技3家公司派出的团队包揽前三名，表现突出。

此次大赛于15日开幕，为期3天。中国、德国、美国等11个国家和地区派出团队参加比赛。

“黑客”其实是“白帽子”

Pwn2Own是世界顶级黑客挑战赛，自2007年举办至今，每年3月在加拿大西部城市温哥华举办的CanSecWest安全会议期间举行。这项赛事由美国网络安全研究组织ZDI等机构主办，谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品。

参赛团队一般利用系统漏洞对软件进行攻击或入侵，并将攻破的漏洞报告给软件厂商，以便厂商针对漏洞发布补丁，更好地保护用户安全。从技术角度讲，这些参赛黑客被称为“白帽子”，意为软件系统安全研究人员，被视为维护网络和计算机安全的主要力量。

本届赛事由5大类别、15个项目构成，项目设置数量和奖金均为历届最高，来自中国、德国、美国等11个国家和地区的团队参赛。

大赛规定，每一项目根据难度等级设置相应积分和奖金，全部赛程结束后，积分最高团队将赢得“破解大师”冠军称号及额外奖金。

发现“潜伏”20余年漏洞

本届赛事中，中国团队在比赛中表现抢眼。截至16日，360安全团队以32分排名第一，腾讯Sniper团队以18分位居第二，长亭科技获得17分名列第三。

大赛首日，360团队仅用时3秒便攻破Adobe公司的PDF阅读器，赢得5万美元奖金和6个积分，成为首战告捷的团队。

在接下来的比赛中，360还利用苹果MacOS系统中一个“骨灰级”漏洞，获得内核ROOT权限，攻陷苹果Safari浏览器，赢得该项目满分。值得一提的是，这项漏洞在苹果Mac系统“潜伏”已超过20年。以封闭著称的苹果系统一直非常重视安全，每次版本升级时都会有针对性地修补漏洞，以确保系统达到最佳安全状态。但在顶级黑客的攻击视野中，系统早期版本遗留下的代码往往会暴露出令人意想不到的安全问题。

截至16日，360在AdobeReader、AdobeFlash、苹果MacOS和Safari四大项目中全部满分夺冠，在大赛积分榜和奖金榜上均位列榜首。

赛事主办方ZDI的负责人达斯廷·C·蔡尔兹对中国团队的优秀表现予以肯定。他说：“目前，中国团队的水平完全是世界顶级。在台上，或许破解时间只需几秒钟，但这需要台下无数个小时的努力。我们希望通过Pwn2Own比赛，和各团队、厂商一起持续提高产品和网络安全。”

新华社特稿