趋势网讯：在温哥华一年一度的CanSecWest会议的Pwn2Own黑客竞赛中，基本所有主流浏览器的最新版本都相继被黑客攻破，其中包括Chrome，IE和Firefox三大浏览器，黑客赢取了数十万美元的奖金，不得不提的是这还是在人为控制的环境下。

@趋势网 (微博) 配图：Pwn2Own是最著名的黑客大赛之一

安全公司Vupen和MWR实验室在今天的寻找漏洞的比赛中都破解了这些浏览器，获胜的一方可以赢得10万美元的奖金。

Pwn2Own比赛是位于温哥华的CanSecWest大会中的一个项目。这个比赛是由惠普公司的DV实验室创建，作为其Zero Day Initiative项目的一部分：这项目的目的在于让更多的人来寻找和发现浏览器的漏洞而不是为私人牟利。今年的Pwn2Own大赛出现了许多有趣的黑客故事，包括三大主流的浏览器都跪了：Firefox，IE和Chrome。

Vupen，一个法国的安全研究公司，把Firefox和Internet Explorer同时破解了。它在其推特上粗略的解释一下原理（趋势网海外小编提示注意：一大波安全词汇即将袭来），“我们用了use-after-free和一项崭新的技术，在不使用ROP的情况下绕过Win7系统里的ASLR/DEP从而玩弄了Firefox。”

该技术涉及到召回的内存，浏览器之前“释放出来的”（user-after-free），之后他们就能够干 扰保护计算机系统的技术，让病毒代码执行。

在破Internet Explorer时，Vupen称他们找到了两处独立的“zero-days”或者说是系统中两个未知的漏洞，然后利用它们进入微软专业版的Surface平板电脑。从那儿，公司就控制了Windows 8系统。

公司又在推特上解释说：“我们通过玩弄微软专业版的Surface两处IE10 zero-days漏洞，实现一个完整的Windows8与沙箱旁路的妥协。”

最近，英国的安全公司MWV实验室在Windows 7上破解了Chrome浏览器，并获得控制权。它也“展示了沙箱旁路的一个完整利用”。公司在博客中解释道当他们在“现代使用Windows系统的笔记本电脑上运行” Chrome时，发现了一个zero-day漏洞。它能够利用该漏洞，通过执行一个非常类似的攻击，拿下Facebook，微软，以及其他一些知名公司：它用笔记本访问一个恶意网站。在那儿网站探测到Chrome并且能够控制浏览器执行“在沙箱中的渲染器进程的背景下”代码的区域，或者说是允许代码执行的受保护区域，但限制其使用除了中央处理器和内存之外的部分。

然而，sandbox在抵御攻击时不能违背它所在处的“核”——操作系统的根，而MWV正是利用了这一点。它找到了核的一个弱点，利用了这一点完全进入了Windows 7系统。

这些浏览器在比赛之前都是打好了补丁的，这显示了漏洞之多和寻找漏洞的比赛的重要性。结果MWV赢得了10万美元的奖励。当然，MWV和VUPEN所适当披露的调查结果的所有文件都给了相应的浏览器的安全团队。