北京時間3月26日消息，據(jù)國外媒體報道，已連續(xù)三年在Pwn2Own黑客大賽獲獎的黑客查理·米勒(Charlie Miller)周四表示，他不會向微軟、蘋果及Adobe提供自己所發(fā)現(xiàn)相應(yīng)軟件漏洞的技術(shù)細節(jié)信息，而會向這些廠商提供自己查找軟件漏洞的“思路”，以促使微軟等廠商自行提高軟件的安全性能。

米勒此前陸續(xù)在蘋果Mac OS操作系統(tǒng)、微軟Office辦公套件以及Adobe Reader(PDF文件閱讀器)等軟件中發(fā)現(xiàn)了一些技術(shù)漏洞，漏洞數(shù)量達20個。他表示，僅經(jīng)他本人發(fā)現(xiàn)的技術(shù)漏洞就高達20個，說明各大軟件開發(fā)商重視軟件安全的力度還遠遠不夠。

在周三于加拿大溫哥華市舉行的2010年度 Pwn2Own大賽上，米勒對一臺蘋果MacBook Pro筆記本發(fā)起攻擊，并攻破該筆記本所預(yù)裝Snow Leopard操作系統(tǒng)中的Safari瀏覽器。米勒因此獲得了1萬美元獎金，所攻破筆記本也歸他本人所有。

這也是米勒連續(xù)三次在Pwn2Own大賽上獲獎。他曾于2008年和2009年P(guān)wn2Own大賽上攻破蘋果Mac機。在米勒之前，還從未有任何參賽者在Pwn2Own大賽上連續(xù)三次獲獎。在去年的 Pwn2Own大賽中，他僅用了10秒鐘時間，就成功攻破大會主辦方提供的MacBook Pro筆記本。

不愿提供信息

米勒周四表示：“我們發(fā)現(xiàn)一個漏洞，他們(指軟件開發(fā)商)就發(fā)布一個補丁程序，如此周而復(fù)始。這種方式并不會使軟件安全性能得以提高。不可否認，通過這種打補丁方式，相應(yīng)軟件安全性能確實也有所提高，但這些軟件性能應(yīng)該有更大程度的改善和提高。我卻無法使他們做到這一點?！?/p>

米勒使用僅有數(shù)項代碼的檢測工具，通過插入數(shù)據(jù)方式，以檢測相關(guān)軟件是否存在技術(shù)漏洞。不僅外部研究人員使用此類工具，軟件開發(fā)商在調(diào)試軟件過程中，也經(jīng)常使用這種檢測方式。雖然這些軟件在出廠前已經(jīng)經(jīng)過了大量技術(shù)測試，但米勒還是找出了蘋果Mac OS、微軟Office以及Adobe Reader等軟件共計20個技術(shù)漏洞。

米勒將在本年度CanSecWest安全大會(注：與Pwn2Own大賽在同一時間和地點舉行)上發(fā)表演講，他希望蘋果、微軟和Adobe等廠商認真聽取他如何查找軟件漏洞的思路和方法。

米勒說：“由于我不愿向廠商提供技術(shù)漏洞的詳細信息，外界可能將指責我人品有問題。但我個人看法是，本來就不應(yīng)該將這些漏洞細節(jié)提供給他們。我會說出自己如何查找漏洞的方法，這樣就能促使軟件開發(fā)人員進行更多技術(shù)測試工作?！?/p>

輕松查找漏洞

米勒還表示，自己查找軟件漏洞非常容易，這本身就說明軟件開發(fā)商對軟件安全性能重視程度還遠遠不夠，“或許有人說我是在吹牛，我其實也沒有那么聰明，但只要進行少量工作，我仍能發(fā)現(xiàn)軟件漏洞。我能夠查找出大量漏洞，這種情況令人感到沮喪?！?/p>

米勒認為，如果微軟、蘋果及Adobe等軟件廠商重視軟件安全性能，只要多進行軟件測試工作，這些廠商原本自己就能發(fā)現(xiàn)大量技術(shù)漏洞，而無需等到外部研究人員來查找相應(yīng)漏洞，“我并不是說這些軟件廠商沒有做這方面的工作，而是說他們沒有將這些工作做好。”

米勒最后指出，由于自己不會向微軟等廠商提供所發(fā)現(xiàn)漏洞技術(shù)詳情，各軟件廠商將被迫依照他的思路來還原這些漏洞的生成機制，從而最終促進各軟件開發(fā)商進一步重視產(chǎn)品安全性能。
 

原標題：黑客大賽獲獎?wù)呔芙^向微軟蘋果提供漏洞詳情

1. Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
2. 為避免 Pwn2Own大賽再次出丑 Apple提前給Safari大補
3. 2010年P(guān)wn2Own黑客大賽將開戰(zhàn) 高額獎金與0day引入入勝
4. Pwn2Own2010第一天:火狐、IE、Safari全掛 Chrome幸存
5. Pwn2Own:瀏覽器獨活Chrome 智能機單掛iphone