研究人员在谷歌的Chrome和Mozilla的Firefox中揭开了零日漏洞,在两个黑客挑战的最后一天,为参赛者授予210,000美元。
Chrome漏洞由被确定为“Pinkiepie”的少女研究员提交,谁只是参加谷歌赞助的“PWNIUM”活动的第二名。
验证Pinkiepie的工作后,符合PWNIUIIUIIUIIUIIUIIUPIOIIUP“全铬漏洞”的要求 - 这意味着两个错误在浏览器自己的代码中,包括一个“沙箱逃生”利用 - Google授予他60,000美元。
这是在为期三天的活动期间第二个这样的支付。在星期三,谷歌支付了60,000美元到Sergey Glazunov,常常在全年由Google支付的奖金。
在宣布Pinkiepie的Win,Jason Kersey,Chrome计划经理称为研究人员的利用“艺术品。”Kersey还承诺谷歌将发布两种PWNIUM提交的技术撰写。
星期六,谷歌修补了Chrome以修复Pinkiepie的漏洞,第二次在三天内更新了在获得错误的24小时内更新了浏览器。
此外,周五,惠普TippingPoint的零日倡议(ZDI)封锁了其“PWN2WOWEN”的黑客竞赛,如Pranium在不列颠哥伦比亚省温哥华的CACSECWEST安全会议上举行的PWNIUM 3月7日至9日。
在PWN2OWN的最后一天,一个双人团队 - Vincenzo Iozzo和Willem Pinckaers - 利用Firefox零天的零日,参加比赛的30,000美元的初级奖。
Iozzo和Pinckaers,他在PWN2WOWS的现场组件中也会扼杀了另外四次修补的漏洞,对比赛没有陌生人。去年,他们组成了三分之二的团队赢得了15,000美元通过黑攻击黑莓智能手机。
来自法国安全公司Vupen的团队赢得了60,000美元的Pwn2own的第一奖黑客铬和微软在本周早些时候的Internet Explorer。
ZDI没有奖励PWN2WATE的15,000奖品,因为只有两支球队参加了比赛。
总而言之,这两项事件奖金奖金奖金,在CACSECWEST的纪录。
决斗挑战并不是在Cansecwest的原始议程上:一周在会议开业前,谷歌撤回了其PWN2OWN的赞助,对该竞赛的实践不需要研究人员泄露“沙箱逃生”漏洞。
谷歌然后宣布自己的粉刺,并承诺支付高达100万美元用于利用Chrome零天漏洞的黑客。
Vupen和Iozzo-Pinckaers团队在PWN2OWN期间使用的代码执行漏洞将于今天向供应商报告,ZDI在Twitter上说上周五。
唯一没有针对PWN2OWN的浏览器是Apple的野生动物园,这在比赛六年历史上第一次不受干扰。
Gregg Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的常规技术突发新闻。关注Twitter上的Gregg@gkeizer.或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@ix.netcom.com.。
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事“Pwn2own,Pwnium pay研究人员210k为浏览器错误”最初发布Computerworld. 。