駭客在國際競賽中破解 iOS 15、Windows 10 和 Google Chrome

在中國四川省舉行的年度黑客大賽「天府盃」期間，駭客突破了 iOS 15、Windows 10 和 Google Chrome 的防禦。根據部分廠商的聲明，本次比賽中利用的某些零日漏洞已經或即將修復。

前幾天我們在專欄討論過，中國駭客僅用 15 秒就成功破解了 iPhone 13。這項壯舉是在天府盃（10 月 16 日至 17 日）期間實現的，這是一項每年在中國四川省舉行的黑客比賽。該活動已成為中國黑客精英不可錯過的活動，特別是因為他們被禁止參加本國境外的類似比賽。

中國駭客精英造成嚴重破壞

然而，據我們網站上的同事報道福布斯天府盃的參賽者在本次比賽中表現出色，不僅攻克了 iOS 15.0.2 的防禦，也攻克了許多流行服務和產品的防禦。因此，駭客設法利用了其中發現的五個安全漏洞Windows 10，其中之一會影響 Microsoft Exchange。至於谷歌瀏覽器，駭客利用了兩個漏洞來癱瘓該瀏覽器。

然而，受害者名單不止於此：Adobe PDF、華碩 AX56U 路由器、Docker CE、Parallels VM、QEMA VM、Ubuntu 20、VMware ESXi 和 Workstation 也遭到了出色的駭客攻擊。正如你可能懷疑的那樣，有關被利用的漏洞及其影響的詳細資訊將在未來幾個月內未知。

事實上，此類競爭的參與者通常都會進行「負責任的揭露」。換句話說，他們承諾在製造商有時間發布補丁之前不會提供有關被利用缺陷的詳細資訊。不過，天府杯的地位有些特殊。事實上，中國於 2021 年 9 月 1 日頒布了一項新法律，要求任何中國公民向政府披露發現的任何零日漏洞。

在特定點上的令人擔憂的競爭

對於 Lookout 首席 IT 安全工程師 Kristina Balaam 來說，這項措施令人擔憂，因為它意味著“中國政府可以儲存大量針對其他地區廣泛使用的產品的零日漏洞，並在成功修補這些產品之前獲得利用這些產品所需的知識“。

儘管如此，對於 IT 安全公司 BreachQuest 的共同創辦人 Jack Williams 來說，天府杯你不用太擔心。正如他所指出的，參與者非常有興趣將他們發現的漏洞保密，然後在比賽中利用它們。原因是什麼？在競爭中揭露這些缺陷更有利可圖並贏得獎品，而不是將其透露給製造商（透過錯誤搜尋程序）或當局。舉個例子，盤古隊將其收入囊中天府期間30萬美金 杯子用於越獄iPhone 13iOS 15.2 下。

對於受競賽期間利用的缺陷影響的製造商，微軟保證“符合我們立即支援標準的經過驗證的安全問題的解決方案通常會作為補丁星期二的一部分發布。至於谷歌，該公司剛剛修正 Google Chrome 95 上的兩個零日安全漏洞。一切都表明這就是比賽中被利用的兩個漏洞。