已連續三年在Pwn2Own黑客大賽獲獎的黑客查理·米勒(Charlie Miller)周四表示，他不會向微軟、蘋果及Adobe提供自己所發現相應軟件漏洞的技術細節信息，而會向這些廠商提供自己查找軟件漏洞的“思路”，以 促使微軟等廠商自行提高軟件的安全性能。米勒此前陸續在蘋果Mac OS操作系統、微軟Office辦公套件以及Adobe Reader(PDF文件閱讀器)等軟件中發現了一些技術漏洞，漏洞數量達20個。他表示，僅經他本人發現的技術漏洞就高達20個，說明各大軟件開發商重 視軟件安全的力度還遠遠不夠。

在周三于加拿大溫哥華市舉行的2010年度 Pwn2Own大賽上，米勒對一臺蘋果MacBook Pro筆記本發起攻擊， 并攻破該筆記本所預裝Snow Leopard操作系統中的Safari瀏覽器。米勒因此獲得了1萬美元獎金，所攻破筆記本也歸他本人所有。

這也是米勒連續三次在Pwn2Own大賽上獲獎。他曾于2008年和2009年Pwn2Own大 賽上攻破蘋果Mac機。在米勒之前，還從未有任何參賽者在Pwn2Own大賽上連續三次獲獎。在去年的Pwn2Own大賽中，他僅用了10秒鐘時間，就成 功攻破大會主辦方提供的MacBook Pro筆記本。

不愿提供信 息

米勒周四表示：“我們發現一個漏洞，他們(指軟件開發商)就發 布一個補丁程序，如此周而復始。這種方式并不會使軟件安全性能得以提高。不可否認，通過這種打補丁方式，相應軟件安全性能確實也有所提高，但這些軟件性能 應該有更大程度的改善和提高。我卻無法使他們做到這一點。”

米勒使用僅有數項代碼的 檢測工具，通過插入數據方式，以檢測相關軟件是否存在技術漏洞。不僅外部研究人員使用此類工具，軟件開發商在調試軟件過程中，也經常使用這種檢測方式。雖 然這些軟件在出廠前已經經過了大量技術測試，但米勒還是找出了蘋果Mac OS、微軟Office以及Adobe Reader等軟件共計20個技術漏洞。

米勒將在本年度CanSecWest安全大 會(注：與Pwn2Own大賽在同一時間和地點舉行)上發表演講，他希望蘋果、微軟和Adobe等廠商認真聽取他如何查找軟件漏洞的思路和方法。

米勒說：“由于我不愿向廠商提供技術漏洞的詳細信息，外界可能將指責我人品有問題。但我個人看法 是，本來就不應該將這些漏洞細節提供給他們。我會說出自己如何查找漏洞的方法，這樣就能促使軟件開發人員進行更多技術測試工作。”

輕松查找漏洞

米勒還表示，自己查找軟件漏洞非常容易，這本身就說明軟件開發商對軟件安全性能重視程度還遠遠不 夠，“或許有人說我是在吹牛，我其實也沒有那么聰明，但只要進行少量工作，我仍能發現軟件漏洞。我能夠查找出大量漏洞，這種情況令人感到沮喪。”

米勒認為，如果微軟、蘋果及Adobe等軟件廠商重視軟件安全性能，只要多進行軟件測試工作，這 些廠商原本自己就能發現大量技術漏洞，而無需等到外部研究人員來查找相應漏洞，“我并不是說這些軟件廠商沒有做這方面的工作，而是說他們沒有將這些工作做 好。”

米勒最后指出，由于自己不會向微軟等廠商提供所發現漏洞技術詳情，各軟件廠商 將被迫依照他的思路來還原這些漏洞的生成機制，從而最終促進各軟件開發商進一步重視產品安全性能。