“天府杯”黑客大賽中破解了在 iPhone 13 上運行的完整補丁 iOS 15

天府杯是在中國舉辦的最重要的黑客大賽，今年白帽黑客通過展示流行軟件的漏洞賺了 188 萬美元。

今年的版本于10月16日至17日在成都舉行，參賽者在5分鐘內進行了3次嘗試，展示了他們的功勛。

獲勝者是安全公司 昆侖實驗室，在網絡昆侖和昆侖實驗室首席執行官、奇虎 360 前 CTO 和 360Vulcan 團隊創始人的驚人專家@mj0011的推文下，他獲得了 654,500 美元。

今年的版本列出了 16 個可能的目標，參與者成功展示了針對其中 13 個的攻擊：

• Windows 10  – 被黑 5 次
• Adobe PDF 閱讀器 – 4 次
• Ubuntu 20  – 4 次
• Parallels VM  – 3 次
• iOS 15  – 3 次
• Apple Safari  – 2 次
• 谷歌瀏覽器 – 2 次
• 華碩 AX56U 路由器 – 2 次
• Docker CE  – 1 次
• VMWare ESXi  – 1 次
• VMWare 工作站 – 1 次
• qemu VM  – 1 次
• Microsoft Exchange  – 1 次

在比賽中展示的漏洞之一立即引起了媒體的關注，它是針對運行在最新iPhone 13上的完整補丁iOS 15的零點擊遠程代碼執行漏洞。 盤古獲得了歷史上最高的單項獎金在這次利用的競爭中，300000 美元。

與會人員還演示了針對谷歌瀏覽器的遠程代碼執行漏洞利用鏈，這是天府杯上首次演示此類漏洞利用。

沒有針對 Synology DS220j NAS、小米 11 智能手機和未命名的家用電動汽車的漏洞。