|
谷歌24小時(shí)內(nèi)完成Chrome“黑客大賽”漏洞修復(fù)
您當(dāng)前的位置 :中華龍都網(wǎng) >> 新聞中心 來(lái)源:新浪科技 | 2012-03-12 09:15:59 |
北京時(shí)間3月10日凌晨消息,據(jù)國(guó)外媒體周五報(bào)道,谷歌(微博)當(dāng)天表示,此前被黑客謝爾蓋·格拉祖諾夫(Sergey Glazunov)在Pwnium黑客大賽上破解的Chrome漏洞已經(jīng)在24小時(shí)之內(nèi)被成功修復(fù),谷歌同時(shí)還修復(fù)了在2012年P(guān)wn2Own黑客大賽被破解的另一個(gè)Chrome漏洞。
就在格拉祖諾夫成為攻破Chrome的第一人并獲得了6萬(wàn)美元獎(jiǎng)金之后不到24小時(shí),谷歌就有針對(duì)性的發(fā)布了一款更新補(bǔ)丁。
谷歌指出,該公司已經(jīng)在周四通過(guò)Chrome官方博客發(fā)布了更新補(bǔ)丁。據(jù)該報(bào)道稱,谷歌計(jì)劃暫時(shí)不公開(kāi)這一漏洞細(xì)節(jié),“直到大多數(shù)用戶都完成了最新補(bǔ)丁的升級(jí)。”目前該漏洞對(duì)外的介紹僅為:“關(guān)鍵性CVE-2011-304G: UXSS以及不良?xì)v史記錄導(dǎo)航?!?/p>
此前,谷歌宣布拿出6萬(wàn)美元獎(jiǎng)金,懸賞能夠攻破Chrome瀏覽器的黑客。在谷歌宣布這一消息不到兩個(gè)星期時(shí)間里,黑客格拉祖諾夫便成功找到了Chrome的漏洞,并利用該漏洞完美繞開(kāi)瀏覽器沙盒安全機(jī)制,領(lǐng)取到了谷歌6萬(wàn)美元的獎(jiǎng)金。
谷歌Chrome部門(mén)副總裁桑達(dá)爾·皮查伊(Sundar Pichai)也通過(guò)其Google+主頁(yè)宣布了這一消息。格拉祖諾夫成功地利用了Chrome安全漏洞,繞過(guò)沙盒,取得了整臺(tái)機(jī)器的控制權(quán)。Chrome安全小組成員賈斯汀·舒爾(Justin Schuh)表示,格拉祖諾夫的確成功地以登錄用戶的身份奪取了系統(tǒng)的控制權(quán)。舒爾稱這一過(guò)程“令人印象深刻”,并表示格拉祖諾夫獲取6萬(wàn)美元的獎(jiǎng)勵(lì)當(dāng)之無(wú)愧。
谷歌此前通過(guò)官方博客在黑客競(jìng)賽的章程中指出:“我們需要黑客所完成的破解過(guò)程是可以實(shí)施的、端對(duì)端的、能夠造成重大影響并且是最新版本,完全創(chuàng)新的零日(zero-day)攻擊。例如,不是我們公司所熟知或者此前曾經(jīng)與其他第三方所共享的模式。參加攻擊的黑客必須將自己的攻擊方式提交給谷歌以便讓谷歌進(jìn)行判斷分析?!?/p>
然而并不是所有人都對(duì)谷歌的這一競(jìng)賽進(jìn)行了回應(yīng)。而另外一家名為VUPEN的法國(guó)安全公司也在本周早些時(shí)候發(fā)現(xiàn)了Chrome的安全漏洞,并將這一結(jié)果銷(xiāo)售給了政府客戶。該公司指出,他們?cè)贑hrome當(dāng)中發(fā)現(xiàn)了2個(gè)零日漏洞,并且能夠借此來(lái)控制一代補(bǔ)丁完備的Windows 7 SP 1計(jì)算機(jī)。該公司的結(jié)果并沒(méi)有提交給Pwnium黑客大賽,而是被VUPEN帶到了溫哥華舉行的2012年P(guān)wn2Own黑客大賽上公布。
谷歌Chrome副總裁萊納斯·厄普森(Linus Upson)周四在他的Google+主頁(yè)上表示了對(duì)VUPEN這一行為的不滿,他表示對(duì)于一家公司而言“對(duì)尋找到的漏洞保守秘密,并且用之去交換金錢(qián),讓各國(guó)政府借此來(lái)互相攻擊其他國(guó)家人員電腦”的行為是“非??蓯u的?!?/p>
谷歌的一位發(fā)言人在周四發(fā)布的一份電子郵件中確認(rèn)該公司“已經(jīng)在該漏洞在Pwn2Own公布之前就已經(jīng)完成了對(duì)該漏洞的修復(fù)。”而VUPEN則目前尚未對(duì)厄普森的評(píng)論加以回應(yīng)。
掃碼二維碼關(guān)注周口日?qǐng)?bào)官方微信
縣市新聞