在上周的Pwn2Own和Pwnium黑客竞赛中,谷歌在48小时内就修补了Chrome和Chrome OS的几个漏洞。
这四款浏览器分别是Chrome、苹果(Apple)的Safari、Mozilla的Firefox和微软(Microsoft)的Internet Explorer下降到研究人员截至周日,在现金奖励比赛中,谷歌是唯一一个修复了缺陷的。
在Chrome中修补了四个漏洞,以堵住法国漏洞研究公司Vupen的一个团队和一名匿名研究人员使用的漏洞。Vupen向政府和执法机构提供零日漏洞。两个人都在周四下午的Pwn2Own黑客大赛上破解了Chrome,这是由ZDI赞助的黑客竞赛。
谷歌公布了通常的简短描述Vupen和一位未透露姓名的研究人员在一篇关于Chrome 33可用更新的短文中提到了四个漏洞。
这家位于加州山景城(Mountain View)的搜索巨头还承诺公布更多有关两次成功破解Chrome的信息。Chrome的技术项目经理Anthony Laforge在发布会上写道:“我们预计在不久的将来会对这些漏洞进行更多的修改和加强措施。”“我们也相信这两件作品都是艺术作品,应该得到更广泛的分享和认可。”我们计划在未来就Pwn2Own提交的文件进行技术报告。”
谷歌在去年的一篇报道中也做了同样的报道两个月前,在2013年的Pwn2Own大会上,其他人破解了Chrome。
Vupen为其对Chrome的黑客攻击赢得了10万美元,这是该团队获得的创纪录的40万美元奖金的一部分,而那位匿名研究人员则拿走了6万美元。后者的奖金减少了,因为他或她的攻击部分依赖于前一天在Pwnium(谷歌自己的挑战)暴露出的弱点。
在上周的Pwn2Own大会上,由HP TippingPoint运营的漏洞赏金项目ZDI和联合赞助商谷歌总计支付了85万美元的奖金,几乎是去年之前纪录的两倍。
谷歌还修补了7个漏洞,包括一个罕见的被评为“危急”的漏洞,这是该公司对Chrome OS的最高威胁等级。Chrome OS是一种基于浏览器的操作系统,为廉价的Chromebook笔记本电脑提供了支持。
这些漏洞在周三的Pwnium会议上被披露,这是CanSecWest上的另一场黑客竞赛,上周在不列颠哥伦比亚省的温哥华举行。不像Pwn2Own全球,Pwnium是只有谷歌才能参加的比赛。
乔治·霍兹,又名“geohot”,是著名的iPhone和索尼PlayStation 3黑客,谷歌为他提供了15万美元,谷歌称其为四个漏洞链“史诗般的Pwnium比赛获胜。”霍兹还参加了Pwn2Own,在那里他是击败火狐获得5万美元现金奖励的四个团队或个人之一。
另一位Pwnium的参赛者“Pinkie Pie”是一位获得过几个奖项的研究人员,他利用两个漏洞对Chrome OS中的Chrome进行了部分攻击,但谷歌尚未设置奖项。
谷歌表示,就像在Pwn2Own中应用的Chrome漏洞一样,那些针对Chrome OS的漏洞将在稍后的日子里更详细地披露。
格雷格Keizer为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer,在Google +或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
看到更多信息由Gregg Keizer在Computerworld.com上发布。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞主题中心。
这个故事,“谷歌补丁价值31万美元的Chrome, Chrome OS bug”最初是由《计算机世界》 。