Pwn2Own 2018 黑客大会：macOS和Safari 被攻破

第十八届年度 CanSecWest 安全会议正在加拿大温哥华市中心举行，安全研究人员在第11届 Pwn2Own 电脑黑客大赛中竞争超过 200 万美元的奖金。

第一天的结果已经在 Zero Day Initiative 网站上发布，其中包含一些 Mac 相关的安全漏洞。phoenhex 团队的 Samuel Groß 回归后成功突破了苹果 Mac 电脑的 Safari 浏览器。Samuel Groß 使用了 Safari 中的 JIT 优化 bug，macOS 逻辑 bug 和内核覆盖执行代码，成功突破了 Safari 浏览器。这一系列操作获得了 6.5 万美元奖金以及 6 分。这个漏洞的结果是可以在 MacBook Pro 的 Touch Bar 上显示文字信息。

在去年的黑客大会上，Groß 成功在 macOS 系统中利用 Safari 漏洞提升至 root 权限。Groß 与 Niklas 成功在 MacBook Pro 的 Touch Bar 上显示滚动信息，获得 2.8 万美元奖金。

2018年 Pwn2Own 大会上，Richard Zhu 使用了两个 Safari 漏洞突破了iPhone7 安全协议。此外，Richard Zhu 还利用两个 UAF 漏洞突破了微软 Edge 浏览器，最终他拿走了 7 万美元奖金。

苹果公司的代表也参加了 Pwn2Own 黑客大会，大会上发现的漏洞将在未来的升级中修复。