在年度的CanSecWest黑客大赛中,MacBook Air于上周四(3/27)首先被攻破,随后执行Vista操作系统的Fujitsu U810也失守。在为期三天的比赛中,只有Ubuntu平台的Sony VAIO计算机安全脱身,没有被黑客侵入。
3/26开始的CanSecWest黑客大赛,由资安业者TippingPoint主办,该公司专门透过黑客方式,找出计算机系统弱点,并提供各公司作为改善参考。今年的黑客竞赛目标是执行Mac OS X 10.5.2的MacBook Air、使用Ubuntu 7.10的Sony VAIO VGN-TZ37CN,以及搭载Windows Vista Ultimate SP1平台的Fujitsu U810等三台计算机,各操作系统皆已下载所有的更新及修补程序。
由于竞赛首日只允许黑客透过网络攻击操作系统,所有参赛者都无功而返。第二天开始,大会容许黑客透过计算机预载的应用程序,如浏览器、电子邮件、即时消息等软件,进行攻击,结果独立安全评估公司(Independent Security Evaluators)的团队,在几分钟内就成功侵入MacBook Air,获得1万美元奖金。
TippingPoint指出,Independent Security Evaluators是利用Safari 3.1网页浏览器的漏洞,诱使使用者进入恶意网页,至于该漏洞细节,大会已提供给Apple公司,着手进行改善措施。依主办单位与参赛者签署的协议,在原公司释出修补程序之前,双方都不得透露漏洞细节。
竞赛第三天,开放参赛者透过第三方应用软件入侵计算机系统,不过此软件必须是大会评定的主流程序。来自Security Objectives公司的参赛黑客,利用安装的Adobe Flash软件,成功控制使用Vista Ultimate SP1平台的Fujitsu U810计算机,并且得到5000美元奖金,该漏洞内容亦已呈报Adobe,进行了解与补强。
直至竞赛结束为止,仅有搭载Ubuntu操作系统的Sony VAIO,没有遭到黑客破解