|
谷歌24小時內(nèi)完成Chrome“黑客大賽”漏洞修復(fù)
您當(dāng)前的位置 :中華龍都網(wǎng) >> 新聞中心 來源:新浪科技 | 2012-03-12 09:15:59 |
北京時間3月10日凌晨消息,據(jù)國外媒體周五報道,谷歌(微博)當(dāng)天表示,此前被黑客謝爾蓋·格拉祖諾夫(Sergey Glazunov)在Pwnium黑客大賽上破解的Chrome漏洞已經(jīng)在24小時之內(nèi)被成功修復(fù),谷歌同時還修復(fù)了在2012年P(guān)wn2Own黑客大賽被破解的另一個Chrome漏洞。
就在格拉祖諾夫成為攻破Chrome的第一人并獲得了6萬美元獎金之后不到24小時,谷歌就有針對性的發(fā)布了一款更新補丁。
谷歌指出,該公司已經(jīng)在周四通過Chrome官方博客發(fā)布了更新補丁。據(jù)該報道稱,谷歌計劃暫時不公開這一漏洞細(xì)節(jié),“直到大多數(shù)用戶都完成了最新補丁的升級?!蹦壳霸撀┒磳ν獾慕榻B僅為:“關(guān)鍵性CVE-2011-304G: UXSS以及不良?xì)v史記錄導(dǎo)航?!?/p>
此前,谷歌宣布拿出6萬美元獎金,懸賞能夠攻破Chrome瀏覽器的黑客。在谷歌宣布這一消息不到兩個星期時間里,黑客格拉祖諾夫便成功找到了Chrome的漏洞,并利用該漏洞完美繞開瀏覽器沙盒安全機(jī)制,領(lǐng)取到了谷歌6萬美元的獎金。
谷歌Chrome部門副總裁桑達(dá)爾·皮查伊(Sundar Pichai)也通過其Google+主頁宣布了這一消息。格拉祖諾夫成功地利用了Chrome安全漏洞,繞過沙盒,取得了整臺機(jī)器的控制權(quán)。Chrome安全小組成員賈斯汀·舒爾(Justin Schuh)表示,格拉祖諾夫的確成功地以登錄用戶的身份奪取了系統(tǒng)的控制權(quán)。舒爾稱這一過程“令人印象深刻”,并表示格拉祖諾夫獲取6萬美元的獎勵當(dāng)之無愧。
谷歌此前通過官方博客在黑客競賽的章程中指出:“我們需要黑客所完成的破解過程是可以實施的、端對端的、能夠造成重大影響并且是最新版本,完全創(chuàng)新的零日(zero-day)攻擊。例如,不是我們公司所熟知或者此前曾經(jīng)與其他第三方所共享的模式。參加攻擊的黑客必須將自己的攻擊方式提交給谷歌以便讓谷歌進(jìn)行判斷分析?!?/p>
然而并不是所有人都對谷歌的這一競賽進(jìn)行了回應(yīng)。而另外一家名為VUPEN的法國安全公司也在本周早些時候發(fā)現(xiàn)了Chrome的安全漏洞,并將這一結(jié)果銷售給了政府客戶。該公司指出,他們在Chrome當(dāng)中發(fā)現(xiàn)了2個零日漏洞,并且能夠借此來控制一代補丁完備的Windows 7 SP 1計算機(jī)。該公司的結(jié)果并沒有提交給Pwnium黑客大賽,而是被VUPEN帶到了溫哥華舉行的2012年P(guān)wn2Own黑客大賽上公布。
谷歌Chrome副總裁萊納斯·厄普森(Linus Upson)周四在他的Google+主頁上表示了對VUPEN這一行為的不滿,他表示對于一家公司而言“對尋找到的漏洞保守秘密,并且用之去交換金錢,讓各國政府借此來互相攻擊其他國家人員電腦”的行為是“非??蓯u的?!?/p>
谷歌的一位發(fā)言人在周四發(fā)布的一份電子郵件中確認(rèn)該公司“已經(jīng)在該漏洞在Pwn2Own公布之前就已經(jīng)完成了對該漏洞的修復(fù)?!倍鳹UPEN則目前尚未對厄普森的評論加以回應(yīng)。
掃碼二維碼關(guān)注周口日報官方微信