谷歌昨天在Chrome 17(2月8日发布)的第六次安全更新中修补了9个漏洞。
周三的更新是Chrome安全团队发布了两个快速修复之后的第一次“Pwnium”窃听事件3月7日至9日在CanSecWest安全会议上举行。
六个九个错误周三的补丁被评为“高”,在谷歌的威胁系统中排名第二。一个标记为“中等”,其余两个标记为“低”。
谷歌向4名研究人员支付了5500美元的奖金,以奖励他们报告了5个漏洞。其他四个漏洞是谷歌自己的安全团队成员发现的,或者是太小,不符合奖金的资格。
昨天有四名研究人员报告说Chrome 17修复了缺陷,其中三名最近被谷歌确认。
谢尔盖·格拉祖诺夫(Sergey Glazunov)是本月早些时候Pwnium两名获奖者之一,他因为提交了一个被谷歌描述为“‘magic iframe’跨源违规”的漏洞而获得了2000美元奖金。
格拉佐诺夫是第一个在Pwnium索取现金的人谷歌因为Pwn2Own的漏洞报告做法遭到反对而退出了长期以来的Pwn2Own竞赛,由此发起了一个只针对chrome浏览器的黑客挑战。
另外两个人,Arthur Gerkis和一名名为“miaubiz”的研究员,因谷歌昨天修补的漏洞分别获得了1000美元和2000美元。
Gerkis和miaubiz是被派去的三个外部臭虫猎人中的两个特殊的10000美元奖金谷歌称其为对其脆弱性报告程序做出的“持续的,非凡的”贡献。
今年到目前为止,谷歌已经通过其漏洞奖励和Pwnium项目向外部研究人员支付了近20万美元。
谷歌将不会修补在“Pwn2Own”中发现的一个Chrome漏洞,“Pwn2Own”是在CanSecWest举办的另一个黑客竞赛。
在Pwn2Own,一个来自法国安全公司Vupen的团队利用了ChromeFlash Player中的bug——谷歌将其捆绑在浏览器中——以及Chrome的“沙箱逃脱”漏洞。
因为Pwn2Own赞助商HP TippingPoint的零日倡议(ZDI)漏洞奖励计划不要求研究人员披露沙箱逃脱漏洞,谷歌没有被告知Vupen团队是如何攻击Chrome的。
昨天的更新Chrome 17可以从谷歌的网站下载Windows, Mac OS X和Linux。运行该浏览器的用户将通过其静默的后台更新服务自动获得新版本。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
看到Gregg Keizer在Computerworld.com报道.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇报道,“谷歌补丁9个Chrome漏洞,支付更多的顶级研究人员”最初是由《计算机世界》 .