谷歌24小時內完成Chrome“黑客大賽”漏洞修復

北京時間3月10日凌晨消息，據國外媒體周五報道，谷歌(微博)當天表示，此前被黑客謝爾蓋·格拉祖諾夫(Sergey Glazunov)在Pwnium黑客大賽上破解的Chrome漏洞已經在24小時之內被成功修復，谷歌同時還修復了在2012年Pwn2Own黑客大賽被破解的另一個Chrome漏洞。

　　就在格拉祖諾夫成為攻破Chrome的第一人并獲得了6萬美元獎金之后不到24小時，谷歌就有針對性的發布了一款更新補丁。

　　谷歌指出，該公司已經在周四通過Chrome官方博客發布了更新補丁。據該報道稱，谷歌計劃暫時不公開這一漏洞細節，“直到大多數用戶都完成了最新補丁的升級。”目前該漏洞對外的介紹僅為：“關鍵性CVE-2011-304G: UXSS以及不良歷史記錄導航。”

　　此前，谷歌宣布拿出6萬美元獎金，懸賞能夠攻破Chrome瀏覽器的黑客。在谷歌宣布這一消息不到兩個星期時間里，黑客格拉祖諾夫便成功找到了Chrome的漏洞，并利用該漏洞完美繞開瀏覽器沙盒安全機制，領取到了谷歌6萬美元的獎金。

　　谷歌Chrome部門副總裁桑達爾·皮查伊(Sundar Pichai)也通過其Google+主頁宣布了這一消息。格拉祖諾夫成功地利用了Chrome安全漏洞，繞過沙盒，取得了整臺機器的控制權。Chrome安全小組成員賈斯汀·舒爾(Justin Schuh)表示，格拉祖諾夫的確成功地以登錄用戶的身份奪取了系統的控制權。舒爾稱這一過程“令人印象深刻”，并表示格拉祖諾夫獲取6萬美元的獎勵當之無愧。

　　谷歌此前通過官方博客在黑客競賽的章程中指出：“我們需要黑客所完成的破解過程是可以實施的、端對端的、能夠造成重大影響并且是最新版本，完全創新的零日(zero-day)攻擊。例如，不是我們公司所熟知或者此前曾經與其他第三方所共享的模式。參加攻擊的黑客必須將自己的攻擊方式提交給谷歌以便讓谷歌進行判斷分析。”

　　然而并不是所有人都對谷歌的這一競賽進行了回應。而另外一家名為VUPEN的法國安全公司也在本周早些時候發現了Chrome的安全漏洞，并將這一結果銷售給了政府客戶。該公司指出，他們在Chrome當中發現了2個零日漏洞，并且能夠借此來控制一代補丁完備的Windows 7 SP 1計算機。該公司的結果并沒有提交給Pwnium黑客大賽，而是被VUPEN帶到了溫哥華舉行的2012年Pwn2Own黑客大賽上公布。

　　谷歌Chrome副總裁萊納斯·厄普森(Linus Upson)周四在他的Google+主頁上表示了對VUPEN這一行為的不滿，他表示對于一家公司而言“對尋找到的漏洞保守秘密，并且用之去交換金錢，讓各國政府借此來互相攻擊其他國家人員電腦”的行為是“非常可恥的。”

　　谷歌的一位發言人在周四發布的一份電子郵件中確認該公司“已經在該漏洞在Pwn2Own公布之前就已經完成了對該漏洞的修復。”而VUPEN則目前尚未對厄普森的評論加以回應。