Pwn2Own黑客大赛10周年版，奖金超过100万美元，目标范围涵盖虚拟机、服务器、企业应用和Web浏览器。

　　过去十年，零日计划(ZDI)年度Pwn2Own竞赛，成为了信息安全日历上开年重大活动之一，2017年也不例外。作为Pwn2Own竞赛十周年纪念，如今由趋势科技操办的ZDI，将比之前任何一次都走得更远，目标更多，奖金更高，只要成功执行零日漏洞利用即可获得不菲奖金。

　　2016年，HPE将其包含有ZDI的TippingPoint部门，以3亿美元的价格，出售给了趋势科技公司。该年的Pwn2own竞赛是两家公司联合举办的。2016年为期2天的竞赛中，成功证明了总共21个零日漏洞的研究人员，分享了46万美元的奖金。

　　Pwn2own 2017 将与CanSecWest大会一起，于3月15-17日在加拿大温哥华举行。2017大赛将由趋势科技独立赞助，且与去年的大赛不同，不再专注于Web浏览器。

　　今年的目标中出现了虚拟机，包括VMware和微软Hyper-V系统。研究人员需要从客户虚拟机执行虚拟化管理程序逃逸，以在底层托管操作系统中运行任意代码。成功进行虚拟机逃逸的安全研究员，将获得ZDI提供的10万美元奖励。

　　趋势科技漏洞研究高级经理布莱恩·戈伦茨说：“我们每年都会考虑新目标。”

　　Pwn2Own大赛之外，ZDI还是从研究人员那里搜罗安全漏洞的产业，通过其项目主动寻求虚拟机逃逸技术。

　　Pwn2Own有望提升研究人员的认识，未来可能看到更多此类报告。但尽管虚拟机在本届Pwn2Own目标列表当中，Docker容器却没有。

　　Linux

　　过去十年，Pwn2Own针对过基于苹果macOS和微软Windows的技术，但在2017年，开源Linux操作系统终于进驻目标列表。

　　在两项独立挑战中，研究人员将特别针对 Ubuntu 16.10 Linux操作系统。一项是权限提升，另一项是服务器端Web托管利用。

　　只要能利用Linux内核漏洞提升权限，研究人员便会得到1.5万美元的奖励。Windows上的提权奖励为3万美元，macOS提权奖励则是2万。

　　Ubunt系统可通过名为“AppArmor”的额外强制访问控制安全层进行保护，一些情况下可以限制本地用户权限提升漏洞利用的风险。2017年的Pwn2Own竞赛中，ZDI并未设置任何AppArmor。

　　在服务器端，ZDI对 Ubuntu 16.10 上运行的开源 Apache Web 服务器漏洞利用开出了20万美元的奖励。

　　Web浏览器

　　Web浏览器再次成为Pwn2Own主要目标，微软Edge浏览器或谷歌Chrome漏洞利用价值8万美元。苹果的Safari漏洞利用可获5万美元奖金。

　　2016的竞赛中Mozilla的火狐浏览器未能入选，但今年的目标列表中它强势回归。对火狐浏览器的成功漏洞利用可获3万美元奖励。

　　Mozilla增强了其安全性，我们完全有理由将其重新包含到竞赛中。

　　另外，2017 Pwn2Own 竞赛将为每个 Adobe Reader、微软 Office Word、Excel和PowerPoint的成功漏洞利用开出5万美元奖金。总奖金额度超过了以往任何一届Pwn2Own大赛。

　　戈恩茨说：“最终奖金数额的大部分取决于我们设置的项目数量，肯定会超过100万美元，是迄今为止的最大额度。”

　　历经十年，Pwn2Own黑客挑战赛很可能继续延续更多个年头。

　　“虽然生活在完全安全的世界会很美好，但我们知道这是不现实的。Pwn2Own上产生了很多伟大的研究，也激发了很多有价值的研究——最终改善了我们每个人的安全。”

　　责任编辑：DJ编辑