据国外媒体周五报道,谷歌当天表示,此前被黑客谢尔盖·格拉祖诺夫(Sergey Glazunov)在Pwnium黑客大赛上破解的Chrome漏洞已经在24小时之内被成功修复,谷歌同时还修复了在2012年Pwn2Own黑客大赛被破解的另一个Chrome漏洞。
就在格拉祖诺夫成为攻破Chrome的第一人并获得了6万美元奖金之后不到24小时,谷歌就有针对性的发布了一款更新补丁。
谷歌指出,该公司已经在周四通过Chrome官方博客发布了更新补丁。据该报道称,谷歌计划暂时不公开这一漏洞细节,“直到大多数用户都完成了最新补丁的升级。”目前该漏洞对外的介绍仅为:“关键性CVE-2011-304G: UXSS以及不良历史记录导航。”
此前,谷歌宣布拿出6万美元奖金,悬赏能够攻破Chrome浏览器的黑客。在谷歌宣布这一消息不到两个星期时间里,黑客格拉祖诺夫便成功找到了Chrome的漏洞,并利用该漏洞完美绕开浏览器沙盒安全机制,领取到了谷歌6万美元的奖金。
谷歌Chrome部门副总裁桑达尔·皮查伊(Sundar Pichai)也通过其Google+主页宣布了这一消息。格拉祖诺夫成功地利用了Chrome安全漏洞,绕过沙盒,取得了整台机器的控制权。Chrome安全小组成员贾斯汀·舒尔(Justin Schuh)表示,格拉祖诺夫的确成功地以登录用户的身份夺取了系统的控制权。舒尔称这一过程“令人印象深刻”,并表示格拉祖诺夫获取6万美元的奖励当之无愧。
谷歌此前通过官方博客在黑客竞赛的章程中指出:“我们需要黑客所完成的破解过程是可以实施的、端对端的、能够造成重大影响并且是最新版本,完全创新的零日(zero-day)攻击。例如,不是我们公司所熟知或者此前曾经与其他第三方所共享的模式。参加攻击的黑客必须将自己的攻击方式提交给谷歌以便让谷歌进行判断分析。”
然而并不是所有人都对谷歌的这一竞赛进行了回应。而另外一家名为VUPEN的法国安全公司也在本周早些时候发现了Chrome的安全漏洞,并将这一结果销售给了政府客户。该公司指出,他们在Chrome当中发现了2个零日漏洞,并且能够借此来控制一代补丁完备的Windows 7 SP 1计算机。该公司的结果并没有提交给Pwnium黑客大赛,而是被VUPEN带到了温哥华举行的2012年Pwn2Own黑客大赛上公布。
谷歌Chrome副总裁莱纳斯·厄普森(Linus Upson)周四在他的Google+主页上表示了对VUPEN这一行为的不满,他表示对于一家公司而言“对寻找到的漏洞保守秘密,并且用之去交换金钱,让各国政府借此来互相攻击其他国家人员电脑”的行为是“非常可耻的。”
谷歌的一位发言人在周四发布的一份电子邮件中确认该公司“已经在该漏洞在Pwn2Own公布之前就已经完成了对该漏洞的修复。”而VUPEN则目前尚未对厄普森的评论加以回应。 |
