前三年在駭客大賽中全身而退的Google Chrome瀏覽器,今年終於被攻破。周四(3/8)舉辦的兩項駭客大賽中,第一天就各有一個團隊找出Chrome漏洞,奪得獎金。
Google贊助的Pwnium駭客大賽中,來自俄羅斯西伯利亞的大學生Sergey Glazunov,透過代理伺服器傳送攻擊程式碼攻擊兩個漏洞,跳過瀏覽器砂箱的限制,一舉取得Google提供的六萬美元獎金。根據Google的統計表,這兩個漏洞Google已經在24小時內完成修補。
Sergey Glazunov不是一位新手駭客,他非常熟悉Chrome瀏覽器的程式碼,在參加比賽之前,他已經從Google領走七萬美元的漏洞懸賞獎金。
Google在此次駭客競賽中提供總數100萬美元的獎金,要求駭客提供漏洞的詳細資料,再依據駭客所攻擊漏洞的嚴重性,提供六萬、四萬、二萬美元不等的獎金。不過,目前為止還沒有其他駭客繼續挑戰其餘94萬美元的獎金。
在HP贊助的Pwn2Own駭客大賽中的長勝軍VUPEN由創辦人Chaouki Bekrar帶領四名同仁參賽,在開賽5分鐘內就利用Windows資料執行抑止(DEP, data execution prevention)及隨機記憶體編排(ASLR, address space layout randomization)的兩個漏洞擊垮Chrome瀏覽器砂箱限制,取得HP贊助的六萬美元獎金。
這些漏洞不僅能攻擊Chrome瀏覽器,也可用於IE及Firefox。Google的統計表中顯示Google尚未取得這些漏洞詳細情況,並懷疑該漏洞存在於Flash播放程式。
由於Pwn2Own駭客大賽沒有強制要求駭客繳交漏洞詳細資料,Chaouki Bekrar僅公佈第一個漏洞的資料,並決定保留第二個漏洞的相關資訊。
根據媒體報導,Google表示願意提供六萬美元的獎賞給VUPEN團隊換取漏洞的詳細資料,但已經遭婉拒,Chaouki Bekrar開玩笑說,Google如果把金額提高到一百萬美元他就會考慮。不過他也表示,這其實跟金額高低無關,他們還要研究該漏洞,等到清楚其中奧妙之後還是會提報給相關廠商。
Pwn2Own主辦單位指出,因為許多漏洞在地下經濟的利益遠超過六萬美元,如果要求駭客必須提交漏洞詳細資料,可能導致無人願意參賽。
原文網址
沒有留言:
張貼留言