北京時(shí)間3月10日凌晨消息�,據國外媒體周五報道�����,谷歌(微博)當天表示���,此前被黑客謝爾蓋·格拉祖諾夫(Sergey Glazunov)在Pwnium黑客大賽上破解的Chrome漏洞已經(jīng)在24小時(shí)之內被成功修復�,谷歌同時(shí)還修復了在2012年P(guān)wn2Own黑客大賽被破解的另一個(gè)Chrome漏洞�。
就在格拉祖諾夫成為攻破Chrome的第一人并獲得了6萬(wàn)美元獎金之后不到24小時(shí)�,谷歌就有針對性的發(fā)布了一款更新補丁��。
谷歌指出�,該公司已經(jīng)在周四通過(guò)Chrome官方博客發(fā)布了更新補丁�����。據該報道稱(chēng)�,谷歌計劃暫時(shí)不公開(kāi)這一漏洞細節��,“直到大多數用戶(hù)都完成了最新補丁的升級�?����!蹦壳霸撀┒磳ν獾慕榻B僅為:“關(guān)鍵性CVE-2011-304G: UXSS以及不良歷史記錄導航�?�!?/p>
此前�����,谷歌宣布拿出6萬(wàn)美元獎金���,懸賞能夠攻破Chrome瀏覽器的黑客��。在谷歌宣布這一消息不到兩個(gè)星期時(shí)間里����,黑客格拉祖諾夫便成功找到了Chrome的漏洞���,并利用該漏洞完美繞開(kāi)瀏覽器沙盒安全機制����,領(lǐng)取到了谷歌6萬(wàn)美元的獎金����。
谷歌Chrome部門(mén)副總裁桑達爾·皮查伊(Sundar Pichai)也通過(guò)其Google+主頁(yè)宣布了這一消息��。格拉祖諾夫成功地利用了Chrome安全漏洞�,繞過(guò)沙盒���,取得了整臺機器的控制權�。Chrome安全小組成員賈斯汀·舒爾(Justin Schuh)表示����,格拉祖諾夫的確成功地以登錄用戶(hù)的身份奪取了系統的控制權�����。舒爾稱(chēng)這一過(guò)程“令人印象深刻”�����,并表示格拉祖諾夫獲取6萬(wàn)美元的獎勵當之無(wú)愧��。
谷歌此前通過(guò)官方博客在黑客競賽的章程中指出:“我們需要黑客所完成的破解過(guò)程是可以實(shí)施的�、端對端的����、能夠造成重大影響并且是最新版本���,完全創(chuàng )新的零日(zero-day)攻擊�。例如����,不是我們公司所熟知或者此前曾經(jīng)與其他第三方所共享的模式����。參加攻擊的黑客必須將自己的攻擊方式提交給谷歌以便讓谷歌進(jìn)行判斷分析����?��!?/p>
然而并不是所有人都對谷歌的這一競賽進(jìn)行了回應����。而另外一家名為VUPEN的法國安全公司也在本周早些時(shí)候發(fā)現了Chrome的安全漏洞���,并將這一結果銷(xiāo)售給了政府客戶(hù)���。該公司指出����,他們在Chrome當中發(fā)現了2個(gè)零日漏洞����,并且能夠借此來(lái)控制一代補丁完備的Windows 7 SP 1計算機�。該公司的結果并沒(méi)有提交給Pwnium黑客大賽���,而是被VUPEN帶到了溫哥華舉行的2012年P(guān)wn2Own黑客大賽上公布�����。
谷歌Chrome副總裁萊納斯·厄普森(Linus Upson)周四在他的Google+主頁(yè)上表示了對VUPEN這一行為的不滿(mǎn)����,他表示對于一家公司而言“對尋找到的漏洞保守秘密���,并且用之去交換金錢(qián)���,讓各國政府借此來(lái)互相攻擊其他國家人員電腦”的行為是“非?�?蓯u的��?!?/p>
谷歌的一位發(fā)言人在周四發(fā)布的一份電子郵件中確認該公司“已經(jīng)在該漏洞在Pwn2Own公布之前就已經(jīng)完成了對該漏洞的修復��?!倍鳹UPEN則目前尚未對厄普森的評論加以回應���。
