已连续三年在Pwn2Own黑客大赛获奖的黑客查理·米勒(Charlie Miller)周四表示,他不会向微软、苹果及adobe提供自己所发现相应软件漏洞的技术细节信息,而会向这些厂商提供自己查找软件漏洞的“思路”,以促使微软等厂商自行提高软件的安全性能。米勒此前陆续在苹果Mac OS操作系统、微软office办公套件以及Adobe Reader(pdf文件阅读器)等软件中发现了一些技术漏洞,漏洞数量达20个。他表示,仅经他本人发现的技术漏洞就高达20个,说明各大软件开发商重 视软件安全的力度还远远不够。
在周三于加拿大温哥华市举行的2010年度 Pwn2Own大赛上,米勒对一台苹果MacBook Pro笔记本发起攻击, 并攻破该笔记本所预装Snow Leopard操作系统中的Safari浏览器。米勒因此获得了1万美元奖金,所攻破笔记本也归他本人所有。
这也是米勒连续三次在Pwn2Own大赛上获奖。他曾于2008年和2009年Pwn2Own大 赛上攻破苹果Mac机。在米勒之前,还从未有任何参赛者在Pwn2Own大赛上连续三次获奖。在去年的Pwn2Own大赛中,他仅用了10秒钟时间,就成 功攻破大会主办方提供的MacBook Pro笔记本。
不愿提供信息
米勒周四表示:“我们发现一个漏洞,他们(指软件开发商)就发 布一个补丁程序,如此周而复始。这种方式并不会使软件安全性能得以提高。不可否认,通过这种打补丁方式,相应软件安全性能确实也有所提高,但这些软件性能 应该有更大程度的改善和提高。我却无法使他们做到这一点。”
米勒使用仅有数项代码的 检测工具,通过插入数据方式,以检测相关软件是否存在技术漏洞。不仅外部研究人员使用此类工具,软件开发商在调试软件过程中,也经常使用这种检测方式。虽 然这些软件在出厂前已经经过了大量技术测试,但米勒还是找出了苹果Mac OS、微软Office以及Adobe Reader等软件共计20个技术漏洞。
米勒将在本年度CanSecWest安全大 会(注:与Pwn2Own大赛在同一时间和地点举行)上发表演讲,他希望苹果、微软和Adobe等厂商认真听取他如何查找软件漏洞的思路和方法。
米勒说:“由于我不愿向厂商提供技术漏洞的详细信息,外界可能将指责我人品有问题。但我个人看法 是,本来就不应该将这些漏洞细节提供给他们。我会说出自己如何查找漏洞的方法,这样就能促使软件开发人员进行更多技术测试工作。”
轻松查找漏洞
米勒还表示,自己查找软件漏洞非常容易,这本身就说明软件开发商对软件安全性能重视程度还远远不 够,“或许有人说我是在吹牛,我其实也没有那么聪明,但只要进行少量工作,我仍能发现软件漏洞。我能够查找出大量漏洞,这种情况令人感到沮丧。”
米勒认为,如果微软、苹果及Adobe等软件厂商重视软件安全性能,只要多进行软件测试工作,这 些厂商原本自己就能发现大量技术漏洞,而无需等到外部研究人员来查找相应漏洞,“我并不是说这些软件厂商没有做这方面的工作,而是说他们没有将这些工作做好。”
米勒最后指出,由于自己不会向微软等厂商提供所发现漏洞技术详情,各软件厂商 将被迫依照他的思路来还原这些漏洞的生成机制,从而最终促进各软件开发商进一步重视产品安全性能。