如何評價《IE11「最安全」？頂級黑客團隊VUPEN嚇跑了》？

01-08

IE11「最安全」？頂級黑客團隊VUPEN嚇跑了

世界黑客大賽Pwn2Own 2015將在3月18日開戰。就在大賽規則公布後，法國黑客團隊VUPEN卻宣布退出。VUPEN表示，本屆比賽IE11瀏覽器的攻擊難度增大，獎金卻削減了，吐槽比賽規則太過苛刻。作為過去四年Pwn2Own黑客大賽的四連冠明星團隊，VUPEN的退出也使IE11有望保住「不破金身」。

VUPEN 這話的意思顯然是嫌錢少，不是嚇跑了。他們公司完全靠這個吃飯，要是真搞不定，公司早關門了。

正好在統計漏洞數據，這是去年 Pwn2Own 後這一年新增瀏覽器漏洞的情況：

幾家瀏覽器在安全性上各有特色，但整體來說，基本上仍然公認 Chrome 的安全性最好。主要是因為 Chrome 的沙箱比較難對付。IE 最近一年漏洞還是不少的，總量位居第一。不過自從微軟去年出了兩個大殺器後，新增漏洞少了很多，再加上今年 Pwn2Own 的幾個特殊要求，難度比去年確實高了不少。不過今年 Pwn2Own 實際上對其它挑戰目標也都增加了特殊要求——比如說所有 Windows 的挑戰目標都要求環境中開啟 EMET。

難度這東西不好量化，獎金可能是最能反映難度的評價指標。今年的獎金設定是：

Google Chrome： 7.5 萬美元

Microsoft IE 11：6.5 萬美元

Adobe Reader（運行於 IE11 環境）：6 萬美元

Adobe Flash（運行於 IE11 環境）：6 萬美元

Mozilla Firefox：3 萬美元

從獎金數看，Chrome 仍然是最難的挑戰目標。IE 的獎金比 Chrome 少了 1 萬美元。Adobe Reader 和 Adobe Flash 都要求運行於 IE 環境內。Adobe Flash 同樣需要突破 IE 的 EPM，Adobe Reader 也需要突破自身的沙箱，難度其實都不低，所以獎金僅比 IE 少 5000 美元。Firefox 因為是上面這些挑戰中唯一沒有沙箱的，所以獎金最少，倒也合理。

所以這個新聞說的，其實不太準確。雖然說對非專業人士不能要求太高，不過如果作者寫稿子前，哪怕去看看今年的獎金設定，也許就能寫的更靠譜一些。

錢太少，要我的話也是寧願爛在手裡，或者做軍火商。少給白帽錢只能讓你的產品在明面上給大眾安全的感覺，實際情況都知道。就攻擊而言，具體技巧是次要的，關鍵是具體攻擊實施過程中用到的方法論甚至說是思想這些本質的東西，值錢的是這些東西。順便吐槽一下，袁哥幾年前（十幾年前？）就表示他的東西不加修改或者稍加修改就可以穩過你們產品的新版本（通殺），就是說他對安全本質的理解領先你們一個層次。你說想要這成理論體系的高級貨卻不想給夠錢流氓不？

理想主義者以為漏洞都是用來公開的

我覺得兩方面：

1.錢少

漏洞能賣錢，錢太少等於虧本賣，安全性越高的軟體，黑市上漏洞價格就越高。比賽辦成這樣肯定是因為錢少了，多給點錢不就好了╮(╯-╰)╭

2.難度大

IE11的高級安全性開了之後確實是……啊……起碼比篩子般的Chrome強……

大部分IE的安全更新，實際上如果你開了IE的那些高級安全特性例如文中說的這些特性：

基本上都不用理會。。。（PS考驗5那個你差不多可以無視）

所以可能是這幾種原因：

1.Pwn2Own 2015 馬上就要開戰了，VUPEN還沒找到在上述條件下能夠利用的漏洞

2.VUPEN覺得在上述條件下能夠利用的牛逼漏洞賣的價格要比獎金高

再說安全性的事兒哈。別以為IE安全更新多，IE就不安全。西貝評論上寫的很清楚：

Google Chrome 40.0 更新內容：此更新包括62個安全修補程序。 v41.0.2272.76：修復了一些穩定性和性能上的問題，包含了51個安全更新，因此強烈建議升級。自己打開chrome更新新聞慢慢數去吧

IE的擴展似乎始終沒人搞起來，看來只能等Spartan了sad（

？

------------------------------

竟然需要解釋，讓不讓人裝高冷了

彈計算器只是讓你看一下，你把它想像成木馬就對了。IE11+win8.1

給得錢太少而已

不知道

那又怎樣，我又不用IE@@

破解的成本高過破解後所獲得的利益，就可以說是不可破解的

安不安全先不說，反正IE11在WIN7上的FC已經讓我對它死心了

輪子哥又刷屏了

這種破了毀聲譽的比賽人家拒絕參賽，因為人家只做有挑戰的事情。

我猜測應該是某軟的錢給到位了……