北京時(shí)間3月10日凌晨消息��,據(jù)國(guó)外媒體周五報(bào)道,谷歌(微博)當(dāng)天表示��,此前被黑客謝爾蓋·格拉祖諾夫(Sergey Glazunov)在Pwnium黑客大賽上破解的Chrome漏洞已經(jīng)在24小時(shí)之內(nèi)被成功修復(fù)��,谷歌同時(shí)還修復(fù)了在2012年P(guān)wn2Own黑客大賽被破解的另一個(gè)Chrome漏洞���。
就在格拉祖諾夫成為攻破Chrome的第一人并獲得了6萬(wàn)美元獎(jiǎng)金之后不到24小時(shí),谷歌就有針對(duì)性的發(fā)布了一款更新補(bǔ)丁��。
谷歌指出�,該公司已經(jīng)在周四通過Chrome官方博客發(fā)布了更新補(bǔ)丁。據(jù)該報(bào)道稱�,谷歌計(jì)劃暫時(shí)不公開這一漏洞細(xì)節(jié)�,“直到大多數(shù)用戶都完成了最新補(bǔ)丁的升級(jí)?����!蹦壳霸撀┒磳?duì)外的介紹僅為:“關(guān)鍵性CVE-2011-304G: UXSS以及不良?xì)v史記錄導(dǎo)航����。”
此前����,谷歌宣布拿出6萬(wàn)美元獎(jiǎng)金,懸賞能夠攻破Chrome瀏覽器的黑客。在谷歌宣布這一消息不到兩個(gè)星期時(shí)間里�,黑客格拉祖諾夫便成功找到了Chrome的漏洞,并利用該漏洞完美繞開瀏覽器沙盒安全機(jī)制�����,領(lǐng)取到了谷歌6萬(wàn)美元的獎(jiǎng)金�。
谷歌Chrome部門副總裁桑達(dá)爾·皮查伊(Sundar Pichai)也通過其Google+主頁(yè)宣布了這一消息。格拉祖諾夫成功地利用了Chrome安全漏洞�����,繞過沙盒�,取得了整臺(tái)機(jī)器的控制權(quán)。Chrome安全小組成員賈斯汀·舒爾(Justin Schuh)表示��,格拉祖諾夫的確成功地以登錄用戶的身份奪取了系統(tǒng)的控制權(quán)���。舒爾稱這一過程“令人印象深刻”����,并表示格拉祖諾夫獲取6萬(wàn)美元的獎(jiǎng)勵(lì)當(dāng)之無(wú)愧�����。
谷歌此前通過官方博客在黑客競(jìng)賽的章程中指出:“我們需要黑客所完成的破解過程是可以實(shí)施的、端對(duì)端的��、能夠造成重大影響并且是最新版本���,完全創(chuàng)新的零日(zero-day)攻擊����。例如�����,不是我們公司所熟知或者此前曾經(jīng)與其他第三方所共享的模式����。參加攻擊的黑客必須將自己的攻擊方式提交給谷歌以便讓谷歌進(jìn)行判斷分析����。”
然而并不是所有人都對(duì)谷歌的這一競(jìng)賽進(jìn)行了回應(yīng)�����。而另外一家名為VUPEN的法國(guó)安全公司也在本周早些時(shí)候發(fā)現(xiàn)了Chrome的安全漏洞�,并將這一結(jié)果銷售給了政府客戶����。該公司指出����,他們?cè)贑hrome當(dāng)中發(fā)現(xiàn)了2個(gè)零日漏洞,并且能夠借此來(lái)控制一代補(bǔ)丁完備的Windows 7 SP 1計(jì)算機(jī)�����。該公司的結(jié)果并沒有提交給Pwnium黑客大賽���,而是被VUPEN帶到了溫哥華舉行的2012年P(guān)wn2Own黑客大賽上公布�。
谷歌Chrome副總裁萊納斯·厄普森(Linus Upson)周四在他的Google+主頁(yè)上表示了對(duì)VUPEN這一行為的不滿�,他表示對(duì)于一家公司而言“對(duì)尋找到的漏洞保守秘密,并且用之去交換金錢���,讓各國(guó)政府借此來(lái)互相攻擊其他國(guó)家人員電腦”的行為是“非?���?蓯u的��?��!?/p>
谷歌的一位發(fā)言人在周四發(fā)布的一份電子郵件中確認(rèn)該公司“已經(jīng)在該漏洞在Pwn2Own公布之前就已經(jīng)完成了對(duì)該漏洞的修復(fù)���?��!倍鳹UPEN則目前尚未對(duì)厄普森的評(píng)論加以回應(yīng)。
