本期主持人：茶茶

如無(wú)安裝在線播放插件，可直接下載音頻：http://netsecurity.51cto.com/secu/radio/safari_2011Pwn2own.mp3

相關(guān)內(nèi)容：

繼谷歌和Mozilla為準(zhǔn)備Pwn2Own黑客大賽發(fā)布Chrome 和Firefox安全更新之后，安全研究員今天透露，在下周Pwn2Own黑客大賽開(kāi)始之前，蘋(píng)果公司將修復(fù)Safari瀏覽器漏洞。 在本周早些時(shí)候，谷歌和Mozilla為準(zhǔn)備Pwn2Own黑客大賽已經(jīng)發(fā)布Chrome 和Firefox安全更新。若沒(méi)錯(cuò)的話，蘋(píng)果公司將同樣如此。

周三，蘋(píng)果修復(fù)了其iTunes音樂(lè)軟件中57個(gè)漏洞；其中50個(gè)漏洞是由于Safari所基于的開(kāi)源瀏覽器引擎WebKit引起的。而iTunes依賴WebKit引擎渲染網(wǎng)絡(luò)商店組件。

法國(guó)安全公司Vupen在Twitter上發(fā)布消息稱 “再一次迎戰(zhàn)Pwn2Own黑客大賽：蘋(píng)果修復(fù)了WebKit（iTunes）50個(gè)漏洞，并且正為Safari / Mac OS X更新做準(zhǔn)備。”

Vupen提到的Pwn2Own指的是網(wǎng)絡(luò)安全大會(huì)CanSecWest每年在加拿大舉行的全球黑客大賽。今年的黑客大賽舉行時(shí)間是3月9日至3月11日。

在Pwn2Own黑客大賽上，安全研究人員將角逐65000美元獎(jiǎng)金，試圖拿下最新版本的蘋(píng)果Safari 5，谷歌的Chrome 9，微軟的IE8和Mozilla的Firefox 3.6。

在發(fā)布修補(bǔ)程序前修復(fù)WebKit，這對(duì)蘋(píng)果來(lái)說(shuō)并不尋常。在過(guò)去，它通常先修復(fù)Safari中WebKit漏洞，然后才為iTunes打補(bǔ)丁。

關(guān)于Safari更新的其它線索，來(lái)源于惠普TippingPoint—恰巧它是Pwn2Own的贊助商—昨日發(fā)布了關(guān)于iTunes音樂(lè)軟件中兩個(gè)WebKit漏洞補(bǔ)丁的報(bào)告。這些漏洞最初是報(bào)告給TippingPoint的ZDI零日計(jì)劃 (Zero Day Initiative) 漏洞獎(jiǎng)賞計(jì)劃的。

兩個(gè)報(bào)告均表明，攻擊者可以利用這個(gè)漏洞來(lái)“執(zhí)行蘋(píng)果WebKit漏洞上的任意代碼”并且該漏洞通過(guò)“驅(qū)動(dòng)式”方式觸發(fā)，只需受害者訪問(wèn)一個(gè)惡意網(wǎng)站。

另一個(gè)消息來(lái)自蘋(píng)果公司周三發(fā)布的iTunes報(bào)告，暗示Safari將很快被修復(fù)。報(bào)告上所列出的50個(gè)漏洞中，沒(méi)有一個(gè)采用蘋(píng)果一貫的描述方法。相反，蘋(píng)果公司只是標(biāo)記了CVE（通用漏洞披露）標(biāo)識(shí)和首次發(fā)現(xiàn)漏洞的研究員名單。

假設(shè)蘋(píng)果更新Safari，那么Pwn2Own四個(gè)目標(biāo)瀏覽器中，只有IE瀏覽器在比賽前仍然沒(méi)有打補(bǔ)丁。微軟上一次為IE修復(fù)漏洞是在2月28號(hào)，該漏洞是作為每月周二補(bǔ)丁的一部分。

相關(guān)音頻內(nèi)容：Pwn2Own2011大賽落幕 瀏覽器手機(jī)淪陷各半(音頻)