微软周二修补了IE浏览器上的最后一个漏洞。今年3月,一名研究人员曾利用该漏洞在Pwn2Own年度黑客大赛上赢得1.5万美元奖金。
在一年一度的Pwn2Own黑客大赛上,一名研究人员今年3月曾利用IE浏览器漏洞赢得1.5万美元奖金。本周二,微软修补了IE浏览器的最后一个漏洞。
此前,该公司曾两次修补IE浏览器,以消除Stephen Fewer of Harmony Security利用漏洞导致Pwn2Own Windows 7上IE8崩溃的问题。由于他的努力,Fewer获得了1.5万美元的现金奖励和一台索尼笔记本电脑。
更少的链接三利用,每一个都针对不同的漏洞,以绕过IE的沙箱,即所谓的“保护模式”,并危及IE8。Pwn2Own的赞助商HP TippingPoint当时称这一壮举“令人印象深刻”。
微软在其浏览器的一个多缺陷更新中修补了第三个IE缺陷,这是一个13-bulletin集合.
尽管微软认为less在ms11 - 057报告第三个漏洞的公告称,该漏洞不是安全漏洞。“是的,这次更新解决了一个保护模式绕过问题,公开称为CVE-2011-1347,”微软在回答一个常见问题时说,“这次更新是否包含任何与安全无关的功能更改?”
在PWN2OWN,较少使用旁路BUG来转义保护模式,以便他可以规避浏览器的沙箱,这允许他将文件添加到机器上,这是一种模仿黑客插入恶意软件的任务。
较少证实,昨天的IE更新固定了他在PWN2OWN中使用的最终缺陷。
“是的,MS11-057修补了我在Pwn2Own漏洞中使用的最后一个漏洞,即保护模式绕过漏洞,另外两个漏洞是免费使用漏洞,在MS11-018中修补了漏洞,在MS11-050中修补了信息泄露漏洞,”Fewer在今天的邮件中回答问题时说。
MS11-018和MS11-050分别是4月和6月的公告,这些公告修补了他通过TippingPoint漏洞赏金程序向微软报告的另外两个漏洞。
据TippingPoint安全研究团队经理、该公司Pwn2Own的组织者亚伦·波特诺伊(Aaron Portnoy)称,周二的IE更新为2011年的比赛完成了补丁。
在PWN2OWN期间,微软表示IE9,浏览器后不久的破解后发布,不包含臭虫他利用。
包括周二的更新,IE9自3月份发布以来已经打了两次补丁。在8月份微软承认的安全问题中,有一个是由Fewer报告的。
“是的,我一直在对IE9做一些研究,实际上我的第一个IE9漏洞也在周二作为MS11-057的一部分被修补了,”Fewer说,他指的是本周他被认为是另一个漏洞。
这个被称为“CVE-2011-1964”的漏洞在今年5月通过TippingPoint向微软报告,当IE9运行在Vista或Windows 7上时,这个漏洞被列为关键漏洞。
更少的人不愿在明年的Pwn2Own上与IE9较量,但他为重复表演敞开了大门。“对于明年的比赛,我还没有任何计划,但如果我在临近的时候有一些新漏洞,谁知道呢?”
8月份的安全更新,包括用于IE的MS11-057,可以通过微软更新和Windows更新服务以及Windows服务器更新服务下载和安装。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“Microsoft Patches Final Pwn2Own IE Bug”最初是由《计算机世界》 .