※ [本文轉錄自 Browsers 看板 #1FMZDeqO ]
作者: octobird (遺憾) 看板: Browsers
標題: [新聞] 駭客大賽Chrome終於被攻陷
時間: Sat Mar 10 00:44:19 2012
http://www.ithome.com.tw/itadm/article.php?c=72574
駭客大賽Chrome終於被攻陷
文/沈經 2012-03-09
前三年在駭客大賽中全身而退的Google Chrome瀏覽器,今年終於分別在Google贊助的
Pwnium及HP贊助的Pwn2Own大賽中被攻破。
前三年在駭客大賽中全身而退的Google Chrome瀏覽器,今年終於被攻破。周四(3/8)舉
辦的兩項駭客大賽中,第一天就各有一個團隊找出Chrome漏洞,奪得獎金。
Google贊助的Pwnium駭客大賽中,來自俄羅斯西伯利亞的大學生Sergey Glazunov,透過代
理伺服器傳送攻擊程式碼攻擊兩個漏洞,跳過瀏覽器砂箱的限制,一舉取得Google提供的
六萬美元獎金。根據Google的統計表,這兩個漏洞Google已經在24小時內完成修補。
Sergey Glazunov不是一位新手駭客,他非常熟悉Chrome瀏覽器的程式碼,在參加比賽之前
,他已經從Google領走七萬美元的漏洞懸賞獎金。
Google在此次駭客競賽中提供總數100萬美元的獎金,要求駭客提供漏洞的詳細資料,再依
據駭客所攻擊漏洞的嚴重性,提供六萬、四萬、二萬美元不等的獎金。不過,目前為止還
沒有其他駭客繼續挑戰其餘94萬美元的獎金。
在HP贊助的Pwn2Own駭客大賽中的長勝軍VUPEN由創辦人Chaouki Bekrar帶領四名同仁參賽
,在開賽5分鐘內就利用Windows資料執行抑止(DEP, data execution prevention)及隨
機記憶體編排(ASLR, address space layout randomization)的兩個漏洞擊垮Chrome瀏
覽器砂箱限制,取得HP贊助的六萬美元獎金。
這些漏洞不僅能攻擊Chrome瀏覽器,也可用於IE及Firefox。Google的統計表中顯示Google
尚未取得這些漏洞詳細情況,並懷疑該漏洞存在於Flash播放程式。
由於Pwn2Own駭客大賽沒有強制要求駭客繳交漏洞詳細資料,Chaouki Bekrar僅公佈第一個
漏洞的資料,並決定保留第二個漏洞的相關資訊。
根據媒體報導,Google表示願意提供六萬美元的獎賞給VUPEN團隊換取漏洞的詳細資料,但
已經遭婉拒,Chaouki Bekrar開玩笑說,Google如果把金額提高到一百萬美元他就會考慮
。不過他也表示,這其實跟金額高低無關,他們還要研究該漏洞,等到清楚其中奧妙之後
還是會提報給相關廠商。
Pwn2Own主辦單位指出,因為許多漏洞在地下經濟的利益遠超過六萬美元,如果要求駭客必
須提交漏洞詳細資料,可能導致無人願意參賽。(編譯/沈經)
--
作者: octobird (遺憾) 看板: Browsers
標題: [新聞] 駭客大賽Chrome終於被攻陷
時間: Sat Mar 10 00:44:19 2012
http://www.ithome.com.tw/itadm/article.php?c=72574
駭客大賽Chrome終於被攻陷
文/沈經 2012-03-09
前三年在駭客大賽中全身而退的Google Chrome瀏覽器,今年終於分別在Google贊助的
Pwnium及HP贊助的Pwn2Own大賽中被攻破。
前三年在駭客大賽中全身而退的Google Chrome瀏覽器,今年終於被攻破。周四(3/8)舉
辦的兩項駭客大賽中,第一天就各有一個團隊找出Chrome漏洞,奪得獎金。
Google贊助的Pwnium駭客大賽中,來自俄羅斯西伯利亞的大學生Sergey Glazunov,透過代
理伺服器傳送攻擊程式碼攻擊兩個漏洞,跳過瀏覽器砂箱的限制,一舉取得Google提供的
六萬美元獎金。根據Google的統計表,這兩個漏洞Google已經在24小時內完成修補。
Sergey Glazunov不是一位新手駭客,他非常熟悉Chrome瀏覽器的程式碼,在參加比賽之前
,他已經從Google領走七萬美元的漏洞懸賞獎金。
Google在此次駭客競賽中提供總數100萬美元的獎金,要求駭客提供漏洞的詳細資料,再依
據駭客所攻擊漏洞的嚴重性,提供六萬、四萬、二萬美元不等的獎金。不過,目前為止還
沒有其他駭客繼續挑戰其餘94萬美元的獎金。
在HP贊助的Pwn2Own駭客大賽中的長勝軍VUPEN由創辦人Chaouki Bekrar帶領四名同仁參賽
,在開賽5分鐘內就利用Windows資料執行抑止(DEP, data execution prevention)及隨
機記憶體編排(ASLR, address space layout randomization)的兩個漏洞擊垮Chrome瀏
覽器砂箱限制,取得HP贊助的六萬美元獎金。
這些漏洞不僅能攻擊Chrome瀏覽器,也可用於IE及Firefox。Google的統計表中顯示Google
尚未取得這些漏洞詳細情況,並懷疑該漏洞存在於Flash播放程式。
由於Pwn2Own駭客大賽沒有強制要求駭客繳交漏洞詳細資料,Chaouki Bekrar僅公佈第一個
漏洞的資料,並決定保留第二個漏洞的相關資訊。
根據媒體報導,Google表示願意提供六萬美元的獎賞給VUPEN團隊換取漏洞的詳細資料,但
已經遭婉拒,Chaouki Bekrar開玩笑說,Google如果把金額提高到一百萬美元他就會考慮
。不過他也表示,這其實跟金額高低無關,他們還要研究該漏洞,等到清楚其中奧妙之後
還是會提報給相關廠商。
Pwn2Own主辦單位指出,因為許多漏洞在地下經濟的利益遠超過六萬美元,如果要求駭客必
須提交漏洞詳細資料,可能導致無人願意參賽。(編譯/沈經)
--
All Comments