压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　正在沙漠賭城拉斯維加斯舉行的黑帽大會(huì)，黑客奧斯卡獎(jiǎng)Pwnie的提名名單已經(jīng)公布，評(píng)委們正在一個(gè)秘密的地方投票。將于當(dāng)?shù)貢r(shí)間8月6日下午6：30公布最終獲獎(jiǎng)名單(北京時(shí)間8月7日早上9：30)。

　　2014黑客奧斯卡獎(jiǎng)Pwnie Awards提名名單公布

　　最佳服務(wù)器端漏洞

　　1，Abusing JSONP with Rosetta Flash (CVE-2014-4671)

　　Adobe Flash Player處理SWF文件引入的CSRF漏洞。

　　2，Heartbleed (CVE-2014-0160)

　　OpenSSL心臟滴血漏洞。Codenomicon為此漏洞設(shè)計(jì)了LOGO和網(wǎng)站，感謝該公司的推波助瀾讓大家在4月份瘋狂加班。

　　3，IPMI： Sold Down the River

　　服務(wù)器帶外管理接口的漏洞，全球有25萬(wàn)服務(wù)器把此接口暴露在互聯(lián)網(wǎng)上任人蹂虐，NSA再也不用花巨資研發(fā)和植入后門(mén)了。

　　4，Embedded Device Hacking

　　關(guān)于嵌入式設(shè)備黑客的一個(gè)博客：/dev/ttyS0，有些公司恨死他了。

　　最佳客戶(hù)端漏洞

　　1，Google Chrome Arbitrary Memory Read Write Vulnerability (CVE-2014-1705)

　　谷歌瀏覽器Chrome的任意內(nèi)存讀寫(xiě)漏洞。

　　2，Heartbleed (CVE-2014-0160)

　　還是OpenSSL心臟滴血漏洞，客戶(hù)端，比如Andriod手機(jī)，也受影響的。

　　3，Pwn4Fun Safari vulnerability (CVE-2014-1300)

　　蘋(píng)果瀏覽器Safari的溢出漏洞。

　　4，Goto Fail (CVE-2014-1266)

　　蘋(píng)果操作系統(tǒng)沒(méi)有好好檢查T(mén)LS證書(shū)，因?yàn)間oto語(yǔ)句用亂了。大學(xué)時(shí)學(xué)C語(yǔ)言，老師就經(jīng)常教育少用goto！

　　最佳提權(quán)漏洞

　　1，AFD.sys Dangling Pointer Vulnerability (CVE-2014-1767)

　　Windows上的內(nèi)核級(jí)漏洞繞過(guò)Windows 8.1上的IE11沙箱。

　　2，VirtualBox VM Breakout using 3D Acceleration (CVE-2014-0981)

　　虛擬機(jī)上的3D加速功能存在漏洞可以逃逸到宿主機(jī)。

　　3，Linux Futex Bug (CVE-2014-3153)

　　Linux內(nèi)核漏洞，三星Galaxy S5和很多Linux發(fā)行版受影響。

　　4，evasi0n iOS 7.0 jailbreak

　　iOS7.0越獄，授予： evad3rs，連續(xù)使用了4個(gè)利用代碼。

　　5，Pangu iOS 7.1 Jailbreak

　　iOS7.1越獄，授予：中國(guó)的盤(pán)古，樹(shù)人Stefan Esser，還有或許其它人。漏洞很難溯源，樹(shù)人宣稱(chēng)部分漏洞來(lái)自他的iOS培訓(xùn)課程，但是誰(shuí)知道誰(shuí)也有同樣的漏洞呢？

　　最具創(chuàng)新性研究

　　1，Hardware-assisted Memory Corruptions

　　授予德國(guó)的硬件黑客Ralf-Philipp Weinmann，他主要搞ARM芯片漏洞研究。

　　2，Bypassing Windows 8.1 Mitigations using Unsafe COM Objects

　　是一個(gè)繞過(guò)微軟安全機(jī)制的研究，授予James Forshaw，第一個(gè)獲得了微軟10萬(wàn)美元獎(jiǎng)金。

　　3，RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis

　　在電腦旁放一個(gè)手機(jī)，或者4米外放一個(gè)高靈敏麥克風(fēng)，通過(guò)聽(tīng)CPU計(jì)算時(shí)產(chǎn)生的聲音，破解4096位RSA密鑰。

　　4，Windows 8 UEFI Secure Boot Bypasses

　　Intel和MITRE共同研究出Win8安全啟動(dòng)繞過(guò)。

　　5，Hacking Blind

　　Blind ROP遠(yuǎn)程溢出技術(shù)。

　　響應(yīng)最爛的廠商

　　1，OpenCart PHP Object Injection Vulnerability

　　漏洞發(fā)現(xiàn)者和廠商代表在GitHub上吵架，沒(méi)事不要去圍觀。

　　2，F(xiàn)ired， I？ 就是FireEye

　　故事比較復(fù)雜，有人發(fā)現(xiàn)了FireEye某產(chǎn)品漏洞，被所在公司開(kāi)除的事情。

　　3，AVG Remote Administration Insecure "By Design"

　　廠商宣稱(chēng)這個(gè)漏洞在設(shè)計(jì)時(shí)就是這樣的，CTO說(shuō)："This is by design"，比修復(fù)它省事多了。

　　4，General Motors

　　通用汽車(chē)點(diǎn)火開(kāi)關(guān)存在故障召回事件，這個(gè)缺陷不是通用汽車(chē)或政府相關(guān)部門(mén)公布的，而是律師在一次致死交通事故起訴通用公司案件中發(fā)現(xiàn)。通用CEO在聽(tīng)證會(huì)時(shí)，議員問(wèn)她，你在通用33年從來(lái)沒(méi)聽(tīng)說(shuō)過(guò)點(diǎn)火開(kāi)關(guān)存在故障嗎？在沒(méi)有實(shí)質(zhì)性的回答后，議員告訴CEO：“You don't know anything about anything”。汽車(chē)安全將會(huì)越來(lái)越重要，因?yàn)槠?chē)運(yùn)行的軟件可被遠(yuǎn)程攻破了，歡迎來(lái)到爆炸的物聯(lián)網(wǎng)時(shí)代。

　　最經(jīng)典輸家

　　1，Goto Fail

　　蘋(píng)果工程師的C語(yǔ)言可能是語(yǔ)文老師教的。

　　2，Heartbleed

　　開(kāi)源社區(qū)的失敗。

　　3，Target Breach

　　美國(guó)零售商店Target入侵案。FireEye檢測(cè)到了，通知了Target的安全運(yùn)維中心SOC，然后呢？

　　4，(ISC)2 Optional Membership Fee

　　(ISC)2網(wǎng)站漏洞會(huì)員續(xù)費(fèi)漏洞。有誰(shuí)認(rèn)識(shí)一些信息安全專(zhuān)家，給這個(gè)非營(yíng)利組織一些無(wú)償?shù)膸椭?高級(jí)黑！)

　　最經(jīng)典破壞

　　1，Heartbleed (CVE-2014-0160)

　　審美疲勞了。

　　2，Target Breach

　　史上最大的信用卡數(shù)據(jù)泄露案。

　　3，Inputs.io

　　一百二十萬(wàn)美元的入侵案件證明了你不要在網(wǎng)上保存比特幣。

　　4，Mt. Gox

　　世界上最大的比特幣交易平臺(tái)宣稱(chēng)被黑客入侵，數(shù)億美元丟失，是不是監(jiān)守自盜呢？