今天看来Ryan对Charlie Miller的采访。这位老兄刚刚在CanSecWest上的黑客大赛上攻陷了Safari浏览器。
采访的全文可以参见:
http://blogs.zdnet.com/security/?p=2941
采访中最有意思的一个话题是:
Why Safari? Why didn’t you go after IE or Safari?
It’s really simple. Safari on the Mac is easier to exploit. The things that Windows do to make it harder (for exploit to work), Macs don’t do. Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows.
It’s more about the operating system that the (target) program is running on. Firefox on Mac is pretty easy too. The underlying OS doesn’t have anti-exploit stuff built into it.
With my Safari exploit, I put the code into a process and I know exactly where it’s going to be. There’s no randomization. I know when I jump there, the code is there and I can execute it there. On Windows, the code might show up but I don’t know where it is. Even if I get to the code, it’s not executable. Those are two hurdles that Macs don’t have.
It’s clear that all three browsers (Safari, IE and Firefox) have bugs. Code execution holes everywhere. But that’s only half the equation. The other half is exploiting it. There’s almost no hurdle to jump through on Mac OS X.
安全问题是一个整体。最终用户的安全与应用程序和其运行操作系统都有关系。
分享到:
相关推荐
- **操作系统兼容性**:IE8支持Windows Vista和Windows XP操作系统。 - **语言版本**:首次发布时提供了24种语言版本,包括简体中文和繁体中文。 #### 二、IE8浏览器的主要特性 ##### 1. 更快速的浏览体验 - **...
操作系统中的IE安全配置是保障用户...同时,保持浏览器和操作系统及时更新,安装可靠的防病毒软件,也是提升整体安全性的必要步骤。通过以上策略,用户可以在享受互联网带来的便利的同时,有效地保护自己的信息安全。
9. **安全性**:在处理敏感信息时,目录浏览器可能会提供加密、解密文件或文件夹的功能,保护用户的隐私和数据安全。 10. **跨平台支持**:很多目录浏览器不仅限于Windows系统,还支持macOS、Linux等其他操作系统,...
在网络安全领域,渗透测试是一种常用的方法来评估系统和网络的安全性。在这个过程中,了解并能够导出浏览器中保存的密码是至关重要的技能,因为这些密码可能成为攻击者的目标。本篇我们将聚焦于“渗透系列:导出...
银河麒麟系统是基于Linux内核的操作系统,专为中国市场设计,尤其在政府和企业领域广泛应用。这款系统的ARM架构版本是为了适应使用ARM处理器的设备,如嵌入式系统、平板电脑和一些高性能服务器。ARM架构以其低功耗和...
5. 安全与保护:操作系统如何确保数据的安全,包括访问控制、审计、加密和防火墙等技术。 6. 并发与分布式系统:线程的概念、并发控制(如互斥锁、信号量、条件变量等)以及分布式系统的原理和实现,例如CAP理论、...
本研究将采用系统化的设计思想,重点在于构建和利用行为沙盒来实现浏览器的安全防御。行为沙盒构建涉及对浏览器及其相关进程的创建关系进行跟踪和组织,而利用行为沙盒监控浏览器进程则是通过对这些进程的行为进行...
2. **标准库 (std)**: Rust 标准库提供了许多用于操作系统交互的基本功能,如文件 I/O、路径处理和错误处理。在文件浏览器中,std 库将被广泛使用来实现文件和目录的操作。 3. **异步编程**: Rust 支持异步编程,这...
网络操作系统的优势在于其强大的共享和协作能力,用户可以在任何地点通过浏览器访问存储在云端的数据和应用,无需担心病毒或恶意软件的威胁。同时,专业团队和先进的数据中心保障了数据的安全性和可靠性,权限管理...
ACCESS数据库是微软公司开发的一款关系型数据库管理系统,广泛应用于小型企业和个人数据管理。MDB是ACCESS数据库的默认文件格式,其中存储了表、查询、窗体、报表、宏和模块等数据库对象。为了方便用户对MDB文件进行...
诺基亚S60(Series 60)是基于塞班操作系统的一个智能手机用户界面,而Safari则是由Apple公司开发的著名网页浏览器。在S60平台上实现Safari,意味着需要对移动设备的性能、内存管理、网络连接以及UI设计有深入理解。...
"易语言系统之家浏览器"是一款基于易语言开发的网络浏览工具,其源码公开,为开发者提供了学习和研究的平台。下面将详细讲解这个项目涉及的一些核心知识点。 1. **易语言**: 易语言是一种中国本土开发的、面向对象...
开发者可以利用它来构建复杂的目录系统、文件浏览器或者关系图显示。 首先,我们要明白ACTIVEX控件的工作原理。ACTIVEX是基于组件的对象模型,允许开发者创建可重用的代码块,这些代码块可以在不同应用程序或网页间...
SQL Server是由微软公司推出的一种关系型数据库管理系统,它支持多种版本,如SQL Server 2000、2005等,这些版本在功能、性能和可扩展性上有所不同。 SQL浏览器的主要功能包括: 1. **数据库发现**:用户可以使用...
操作系统安全是确保计算机系统及其资源免受恶意攻击和未经授权访问的关键方面。实验六的主题是“操作系统的安全”,主要关注Windows XP系统的网络安全特性及其配置方法。在这个实验中,学生将了解和掌握Windows XP的...
CRM(Customer Relationship Management)系统是企业管理和维护客户关系的重要工具,它可以帮助企业高效地收集、存储、分析和利用客户数据,提升销售效率和服务质量。"CRM浏览器自动设置工具"是针对CRM系统的辅助...
1. **解析器**:解析HTML文档,将其转化为DOM树(Document Object Model),这是浏览器理解和操作网页内容的基础。 2. **CSS引擎**:解析CSS规则,应用样式,确定元素的布局和视觉表现。 3. **JavaScript引擎**:...
1. **多平台支持**:数据库浏览器通常支持多种操作系统,如Windows、Linux和macOS,使得用户在不同环境下都能进行数据库管理。 2. **多种数据库兼容性**:它能连接到各种类型的数据库,包括关系型数据库(如MySQL、...
总的来说,MDB 数据库浏览器是一种实用工具,帮助用户在没有 Microsoft Access 的情况下查看和操作 MDB 数据库,提供了一种灵活且便捷的数据访问方式。不过,为了确保数据安全和有效利用,用户应当熟悉所使用的工具...
该系统采用 B/S 开发模式,在 idea 集成开发环境下,使用 Java 语言编码设计系统功能,MySQL 数据库管理相关的系统数据信息,JSP 技术设计和开发系统功能架构,并使用 Tomcat 浏览器将所研发的系统发布到网上。...