本次Pwn2Own 2014大赛中使用的OS X Mavericks 10.9.2和Windows 8.1分别是苹果和微软最新的64位操作系统,也可以说是世界上最安全的两大桌面操作系统。这两款系统之所以攻破难度高,一是参与产品开发的都是全球一流的程序员团队,同时又引入了软件工程“安全开发生命周期(Security Development Lifecycle,SDL)”的工程方法,从开发伊始就强调安全的重要,在顶尖程序员编写代码的过程中,就重视了安全。同时还有严格的安全测试方法在产品发布前进行反复测试,确保产品万无一失。二是操作系统攻防之间的较量从操作系统诞生之初就不曾间断,每次一个新的攻击方法产生,就会有一种新的防护技术对应出现。OS X和Windows最新的操作系统都引入了多种防护机制,例如DEP、ASLR、KASLR、Sandbox等。苹果、微软在公司层面上高度重视安全,邀请了很多国际知名的安全研究专家加盟,这些防护技术都是他们的杰作,这些防护方法最大程度上保护了操作系统。三是操作系统从32位到64位的变迁,使得过去很多在旧系统上可以应用的攻击方法统统失效,针对64位操作系统的攻击方法研究几乎从零开始,难度陡升。
Pwn2Own比赛组委会提供了一台刚开封、全新装载了OS X Mavericks 10.9.2的Macbook Air笔记本电脑,通过网线接入组委会提供的一个封闭局域网络,Keen Team在局域网中架设一台包含攻击利用页面的Web服务器。为了保证比赛的公平公正,Keen Team把网页链接和攻击步骤告诉组委会,由组委会派专人操作该笔记本电脑,打开Safari浏览器访问攻击利用页面,通过对一系列漏洞的利用组合(内存堆溢出和沙盒绕过漏洞)突破了OS X操作系统的所有安全保护机制(包括双ASRL、DEP、Sandbox等),最终获取系统权限,完全控制系统中用户的全部数据,整个操作过程仅15秒。