谷歌今天表示,在两周前的Pwnium 3黑客竞赛中,他们向一名研究人员支付了4万美元,用于部分开发Chrome操作系统。
这名被称为“Pinkie Pie”的研究人员是在3月7日加拿大安全会议CanSecWest上谷歌发起的挑战中唯一提交漏洞利用的参与者,该会议还主办了第八届年度Pwn2Own竞赛。
[也:10个酷谷歌研发项目]
谷歌说,另外两人一直在为Pwnium开发Chrome OS,但都没有及时完成,即使比赛的截止日期被延长了。
据宣布该奖项的Chrome安全团队工程师克里斯·埃文斯说铬的博客在谷歌的浏览器操作系统Chrome OS中,Pinkie Pie提交了一个“貌似存在的错误链,包括视频解析、Linux内核错误和配置文件错误”。
Pinkie Pie在谷歌的黑客竞赛中并不陌生。
去年,他在前两场Pwniun比赛中获得了12万美元的奖金,2012年3月,他在链接a六个漏洞降低谷歌的Chrome,另一个60000美元的10月利用浏览器的在马来西亚吉隆坡举行的第二届Pwnium研讨会上。
谷歌修补了Pinkie Pie周五披露的两个漏洞更新到Chrome OS。按照谷歌的做法,它已经禁止公众访问这些漏洞的技术细节。
Pwnium 3曾因其高额奖金而引起关注——每起黑客攻击可获得高达15万美元的奖金314万美元谷歌承诺在必要时投入资金,并专注于Chrome操作系统,比如249美元的三星Chromebook和谷歌自己1299美元的Chromebook Pixel。
这是第一次由谷歌赞助的将目标从Chrome浏览器转向Chrome OS的竞赛。
谷歌之所以能够改变焦点,是因为这家搜索巨头同意共同赞助Pwn2Own,而Pwn2Own则为第一个Chrome黑客提供了最高的10万美元。来自MWR InfoSecurity的一个两人团队利用浏览器和操作系统中的两个“零日”漏洞,侵入了Windows 7上的Chrome 25。
MWR团队包括年轻的德国人Nils和Jon Butler。尼尔斯也有自己的Pwn2Own历史:2010年,他因入侵Mozilla的火狐浏览器而赢得了1万美元的奖金;2010年,他因利用火狐、IE8和苹果的Safari浏览器获得了1.5万美元的奖金。
谷歌修补了Nils/ButlerChrome bug上周四该公司的安全团队收到了漏洞信息和一个有效的漏洞利用后大约24小时。他们在攻击中使用的Windows内核缺陷被转交给微软进行分析和修补。
Pinkie Pie之前的黑客行为被谷歌的工程师称为“艺术作品”,今天又得到了公司的赞扬。
谷歌的Evans说:“我们要感谢Pinkie Pie在截止日期公布了部分漏洞,而不是抓住漏洞而不是端到端漏洞,以此来尊重比赛的精神。”“这意味着我们可以更快地找到补丁,目标新硬化措施,保障用户的安全。”
谷歌还为Chrome及其网络属性(包括youtube.com和google.com)运行漏洞奖励程序。去年夏天赏金增加了两个项目,支付金额增加到2万美元针对其核心域中的远程代码漏洞。
今天,谷歌表示,其竞赛和赏金项目的总奖金已经超过了90万美元。
今年,HP TippingPoint和谷歌共同赞助了Pwn2Own,并向研究人员颁发了其他几个奖项,其中包括向法国漏洞研究和漏洞销售公司Vupen颁发的25万美元奖金,以奖励他们对IE10、Firefox和Adobe的Flash播放器和阅读器插件的黑客行为。
总而言之,Pwn2Own签发的支票总额为48万美元参与人员。
Gregg Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer,在Google +或订阅格雷格的RSS提要。他的邮件地址是gkeizer@computerworld.com。
看到更多信息由Gregg Keizer在Computerworld.com上发布。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞主题中心。
这篇文章,“谷歌支付4万美元给Pinkie Pie,为部分黑客攻击Chrome OS”最初发表于《计算机世界》 。