VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事

一点号雷锋网3小时前

就在几天前韩国首尔举办的 Pwnfest 破解大赛上,老牌虚拟化厂商 VMware 的 Workstation 被来自 360 的 Marvel Team 和韩国神童 Lokihardt 先后破解,实现了虚拟机逃逸。

根据 Marvel Team 掌门人唐青昊对雷锋网的介绍,这个漏洞的危害非常巨大,可以使得黑客从虚拟机中“逃逸”到宿主机,从而利用宿主机的权限,查看、修改所有运行其上的虚拟机信息。

而就在今天,VMware 为旗下所有受此漏洞影响的软件都推出了最新的版本更新,并且公布了这个漏洞的编号:CVE-2016-7461,还专门鸣谢了来自 360 Marval Team 的唐青昊和应鑫磊以及韩国神童 Lokihardt。


VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事

【VMware 官方网站漏洞详情中的致谢声明】

说到这个漏洞,还有个有趣的故事。

● ● ●

韩国神童和 360 的传奇角力

在 PwnFest 比赛现场,VMware 正是主办方的破解目标之一。主办方为能破解 Workstation 的黑客提供了高达 15 万美元的奖金。而规则规定如果多位选手参加破解,则抽签决定顺序。如果两组选手恰好使用同样的漏洞,俗称“撞洞”,则奖金归属第一组破解选手。

而在这次比赛上,恰好出现了这种情况。


VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事

【唐青昊(图右)和应鑫磊(图左)在 PwnFest 现场成功破解 VMware Workstation】

来自 360 的 Marvel Team 抽签首先出场,成功破解;而来自韩国的颜值逆天的黑客神童 Lokihardt 同样破解成功。然而,VMware 工程师经过确认,两组黑客恰恰使用的同样的漏洞。根据规则,奖金应该由 Marvel Team 获得。

然而根据雷锋网了解到的消息,韩国神童从 VMware 工程师口中得知自己和刚刚完成比赛的 360“撞洞”,表示了些许遗憾,然后在键盘上轻轻敲了一会儿,询问工程师:“我更换了一种漏洞利用的方式,你们看如何?”

工程师们惊愕地发现,仅仅几十秒时间,神童就更改出了一种完全不同的对于漏洞的利用方法。这样的利用方法同样给 VMware 在产品安全方面有很大的启示。于是现场决定两组黑客都可以得到15万美金的奖励。

撞洞在所难免,而现场改代码力挽狂澜,却让人惊叹。(撞洞之后现场改代码还长得这么帅,可能才是最让人惊叹的地方。)

对于神童的逆天表现,Marvel Team 掌门人唐青昊也表达了钦佩之意。这其中的难度,也许只有黑客才能更深地理解。


VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事

【韩国神童 Lokihardt(图左一)在现场破解 VMware Workstation】

● ● ●

VMware 表现可圈可点

韩国神童的表现可圈可点,但 VMware 对于漏洞的响应速度同样可圈可点。

在比赛之前,唐青昊曾经预测:VMware 这样的传统软件厂商修复这个漏洞可能需要两个月。而实际上,从漏洞被黑客提交,到 VMware 推出全线产品补丁,只用了五天时间。

唐青昊对雷锋网说:

在 PwnFest 上被破解的软件厂商中,VMware 修复漏洞的效率是最好的。修复漏洞的速度,甚至超过了谷歌和苹果。

从这一点上来看,VMware对于自身软件安全的重视,值得点赞。

不过,唐青昊告诉雷锋网,他和 Marvel Team 还在继续寻找 VMware 各个产品的漏洞,在云计算越来越普及的今天,虚拟化软件的安全关乎银行、政府、大型企业的信息安全,重要性难以想象。

不知道 VMware 的童鞋们是否准备好,修复自己的下一个漏洞了呢?

最后,应迷妹要求,再欣赏一下 Lokihardt 的帅照。


VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事

举报

将为您减少类似内容

我要收藏0个赞不感兴趣分享到

分享到:

相关文章 反应神速!VMware紧急修复黑客大赛被攻破漏洞 打破VMware“不败金身”360获得VMware官方致谢 世界黑客大赛PwnFest 中国团队再次取得傲人战绩 VMware与中标麒麟国产系统拓宽互认证 VMware首选不是阿里云,竟然是…… YUNJIEMI.COM 云揭秘


VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事

一点资讯游客

还可以输入140字评论

本文网络安全相关术语:网络安全工程师 网络信息安全 网络安全技术 网络安全知识

tags: VMware,漏洞,神童,Team,破解,Marvel,唐青昊,Lokihardt,韩国,PwnFest,Workstation,撞洞,雷锋
分页:12
转载请注明
本文标题:VMware 修复致命漏洞,揭秘360 黑客团队和韩国神童的传奇往事
本站链接:https://www.codesec.net/view/497814.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 网络安全 | 评论(0) | 阅读(165)