北京時(shí)間3月26日消息，據(jù)國(guó)外媒體報(bào)道，已連續(xù)三年在Pwn2Own黑客大賽獲獎(jiǎng)的黑客查理·米勒(Charlie Miller)周四表示，他不會(huì)向微軟、蘋果及Adobe提供自己所發(fā)現(xiàn)相應(yīng)軟件漏洞的技術(shù)細(xì)節(jié)信息，而會(huì)向這些廠商提供自己查找軟件漏洞的“思路”，以促使微軟等廠商自行提高軟件的安全性能。

米勒此前陸續(xù)在蘋果Mac OS操作系統(tǒng)、微軟Office辦公套件以及Adobe Reader(PDF文件閱讀器)等軟件中發(fā)現(xiàn)了一些技術(shù)漏洞，漏洞數(shù)量達(dá)20個(gè)。他表示，僅經(jīng)他本人發(fā)現(xiàn)的技術(shù)漏洞就高達(dá)20個(gè)，說明各大軟件開發(fā)商重視軟件安全的力度還遠(yuǎn)遠(yuǎn)不夠。

在周三于加拿大溫哥華市舉行的2010年度 Pwn2Own大賽上，米勒對(duì)一臺(tái)蘋果MacBook Pro筆記本發(fā)起攻擊，并攻破該筆記本所預(yù)裝Snow Leopard操作系統(tǒng)中的Safari瀏覽器。米勒因此獲得了1萬美元獎(jiǎng)金，所攻破筆記本也歸他本人所有。

這也是米勒連續(xù)三次在Pwn2Own大賽上獲獎(jiǎng)。他曾于2008年和2009年P(guān)wn2Own大賽上攻破蘋果Mac機(jī)。在米勒之前，還從未有任何參賽者在Pwn2Own大賽上連續(xù)三次獲獎(jiǎng)。在去年的 Pwn2Own大賽中，他僅用了10秒鐘時(shí)間，就成功攻破大會(huì)主辦方提供的MacBook Pro筆記本。

不愿提供信息

米勒周四表示：“我們發(fā)現(xiàn)一個(gè)漏洞，他們(指軟件開發(fā)商)就發(fā)布一個(gè)補(bǔ)丁程序，如此周而復(fù)始。這種方式并不會(huì)使軟件安全性能得以提高。不可否認(rèn)，通過這種打補(bǔ)丁方式，相應(yīng)軟件安全性能確實(shí)也有所提高，但這些軟件性能應(yīng)該有更大程度的改善和提高。我卻無法使他們做到這一點(diǎn)。”

米勒使用僅有數(shù)項(xiàng)代碼的檢測(cè)工具，通過插入數(shù)據(jù)方式，以檢測(cè)相關(guān)軟件是否存在技術(shù)漏洞。不僅外部研究人員使用此類工具，軟件開發(fā)商在調(diào)試軟件過程中，也經(jīng)常使用這種檢測(cè)方式。雖然這些軟件在出廠前已經(jīng)經(jīng)過了大量技術(shù)測(cè)試，但米勒還是找出了蘋果Mac OS、微軟Office以及Adobe Reader等軟件共計(jì)20個(gè)技術(shù)漏洞。

米勒將在本年度CanSecWest安全大會(huì)(注：與Pwn2Own大賽在同一時(shí)間和地點(diǎn)舉行)上發(fā)表演講，他希望蘋果、微軟和Adobe等廠商認(rèn)真聽取他如何查找軟件漏洞的思路和方法。

米勒說：“由于我不愿向廠商提供技術(shù)漏洞的詳細(xì)信息，外界可能將指責(zé)我人品有問題。但我個(gè)人看法是，本來就不應(yīng)該將這些漏洞細(xì)節(jié)提供給他們。我會(huì)說出自己如何查找漏洞的方法，這樣就能促使軟件開發(fā)人員進(jìn)行更多技術(shù)測(cè)試工作。”

輕松查找漏洞

米勒還表示，自己查找軟件漏洞非常容易，這本身就說明軟件開發(fā)商對(duì)軟件安全性能重視程度還遠(yuǎn)遠(yuǎn)不夠，“或許有人說我是在吹牛，我其實(shí)也沒有那么聰明，但只要進(jìn)行少量工作，我仍能發(fā)現(xiàn)軟件漏洞。我能夠查找出大量漏洞，這種情況令人感到沮喪。”

米勒認(rèn)為，如果微軟、蘋果及Adobe等軟件廠商重視軟件安全性能，只要多進(jìn)行軟件測(cè)試工作，這些廠商原本自己就能發(fā)現(xiàn)大量技術(shù)漏洞，而無需等到外部研究人員來查找相應(yīng)漏洞，“我并不是說這些軟件廠商沒有做這方面的工作，而是說他們沒有將這些工作做好。”

米勒最后指出，由于自己不會(huì)向微軟等廠商提供所發(fā)現(xiàn)漏洞技術(shù)詳情，各軟件廠商將被迫依照他的思路來還原這些漏洞的生成機(jī)制，從而最終促進(jìn)各軟件開發(fā)商進(jìn)一步重視產(chǎn)品安全性能。
 

原標(biāo)題：黑客大賽獲獎(jiǎng)?wù)呔芙^向微軟蘋果提供漏洞詳情

1. Pwn2Own2010第一天:iPhone被攻破 漏洞涉及Safari
2. 為避免 Pwn2Own大賽再次出丑 Apple提前給Safari大補(bǔ)
3. 2010年P(guān)wn2Own黑客大賽將開戰(zhàn) 高額獎(jiǎng)金與0day引入入勝
4. Pwn2Own2010第一天:火狐、IE、Safari全掛 Chrome幸存
5. Pwn2Own:瀏覽器獨(dú)活Chrome 智能機(jī)單掛iphone