谷歌今天奖励6万美元给一名安全研究员,他在该搜索公司的第二届“Pwnium”黑客竞赛中破解了Chrome浏览器。
这位昵称为“小粉妹”(Pinkie Pie)的少年研究员是今年3月再次获奖的人两人各赢得六万美元在谷歌的首次挑战中入侵Chrome浏览器。
Pwnium 2于本周在马来西亚吉隆坡举行的黑客安全会议上举行。谷歌在两个月前宣布了后续比赛的消息,称将投入多达200万美元。
Pinkie Pie的6万美元是Pwnium 2号唯一的奖励。
“这个[漏洞]依靠WebKit可缩放矢量图形(SVG)的妥协来利用渲染过程和IPC层的第二个漏洞来逃脱Chrome沙箱,”Chrome软件工程师克里斯·埃文斯(Chris Evans)在周三的一篇文章中说铬的博客.“由于这个exploit完全依赖于Chrome内部的bug来实现代码执行,它有资格获得我们的最高奖励级别。”
IPC是“进程间通信”的缩写,是Chrome中用来允许多个活跃的浏览器进程相互“对话”的技术。
谷歌承诺,一旦其他WebKit构建的浏览器(苹果的Safari也依赖于开源的WebKit引擎)升级,谷歌将披露更多关于Pinkie Pie漏洞的信息。
今年早些时候,谷歌推迟披露技术细节关于Pinkie Pie和Sergey Glazunov在三月入侵Pwnium的报道直到5月底。
和去年3月一样,Chrome程序经理杰森·克尔西(Jason Kersey)称Pinkie Pie的破解是“一件美丽的艺术品”。
谷歌今天修补了Pinkie Pie在比赛中使用的Chrome漏洞,并吹嘘了它的周转时间。
埃文斯今天说:“我们在漏洞提交后就开始分析,在Pwnium 2得出结论后不到10个小时,我们就为用户更新了新补丁版本的Chrome。”
今年3月,谷歌在24小时内修复了Pinkie Pie's和Glazunov的漏洞。
Chrome的更新版本为22.0.1229.94,将自动下载并应用于安装了该浏览器的Windows、Mac和Linux机器上。
今年到目前为止,谷歌已经向报告Chrome漏洞的安全研究人员支付了近40万美元的奖金和奖金。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
看到Gregg Keizer在Computerworld.com报道.
阅读更多关于恶意软件和漏洞的信息在计算机世界的恶意软件和漏洞主题中心。
这篇文章,“谷歌付给研究员6万美元的Chrome黑客”最初是由《计算机世界》 .