奇虎团队在 Pwn2Own 上组合利用三个漏洞逃脱虚拟机

达尔文
 达尔文
发布于 2017年03月20日
收藏 8

奇虎 360 安全团队在 Pwn2Own 上组合利用三个漏洞,演示了逃脱虚拟机访问主机。他们因此获得了 10.5 万美元奖金。

奇虎的研究人员首先利用微软  Edge 浏览器 JS 引擎的一个堆溢出漏洞在 Edge 沙盒内实现代码执行,然后利用 Windows 10 内核的一个类型混淆漏洞完全入侵客户机,再利用 VMware 虚拟机的未初始化缓冲漏洞逃离客户机系统访问主机。所有这一切只需要借助安全研究人员控制的一个恶意网站。

沙盒以及虚拟机都是用于防止一个软件的漏洞影响系统其它部分的隔离层机制,逃脱虚拟机意味着没有什么基于软件的隔离层是安全的。

来源:Solidot

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:奇虎团队在 Pwn2Own 上组合利用三个漏洞逃脱虚拟机
加载中

精彩评论

Raymin
Raymin
一个你不信任的人,他越厉害,你越害怕!
子弹兄
子弹兄
虽然不懂,但360的确挺厉害!

最新评论(18

iforgetmyname
iforgetmyname
不是360太屌,是win太垃圾……
你手下
问题来了 win10自带的浏览器哪个sb会用。卡得一比 比ie烂多了
beetleleo
beetleleo
最安全的办法是原理电脑!!
子弹兄
子弹兄
虽然不懂,但360的确挺厉害!
原始数据
原始数据
喷子们好~
司徒永超
司徒永超
可以的,很厉害
Raymin
Raymin
一个你不信任的人,他越厉害,你越害怕!
swiftplus
swiftplus
虚拟机和宿主机如果安装360的卫士或杀毒结果如何呢?这是我最想知道呢!
返回顶部
顶部