谷歌在其Chrome浏览器中修补了一个WebKit缺陷,该浏览器被跨国团队利用,以在PWN2OWN攻击黑莓火炬智能手机。
虽然Chrome在PWN2WOWN中未被取建,但浏览器依赖于开源WebKit浏览器引擎,因此需要修补。
周五的Chrome更新使Google The First First浏览器开发人员修补PWN2OWN的漏洞,由HP TippingPoint和零日倡议(ZDI)Bug Bounty程序赞助的黑客竞赛。星期三,PWN2DOWN跑到星期五,并将60,000美元的奖金交给四个个人或团队。
上周四,Vincenzo Iozzo,Willem Pinckaers和Ralf-Philipp Weinmann赢得了15,000美元在运动的黑莓火炬中的黑客研究在BlackBerry的浏览器中利用WebKit漏洞。同一天,迪翁布拉拉克斯和四次赢家查理米勒利用不同的网络问题缺陷苹果'safari浏览器苹果手机4。
根据谷歌,Iozzo,Pinckaers和Weinmann利用的WebKit Bug是“风格处理中的内存损坏”。谷歌将威胁评为“高”的威胁,其第二次最终排名。
与Google的实践一样,它将访问其Bug Tracker的访问,以便禁止拨打刚刚修补漏洞的技术细节。该公司阻止公众访问缺陷周数甚至几个月,以提供用户更新时间。
Apple将需要修补Google所处理的相同的WebKit错误,以及Blazakis和Miller开发的人不会评论其安全更新过程。
谷歌还授予Iozzo,Pinckaers和Weinmann从自己的Bug Bounty计划中获得1,337美元,为PWN2OWN HACK加入其现金。
镀铬和Mozilla的Firefox都不在上周的PWN2OWN挑战:早些时候签署浏览器的研究人员没有表现出或退出,因为他们未能在比赛中赶上可靠的利润。
Mozilla和Google的员工都吹了浏览器的生存技巧。
“哇,Firefox幸存下来#pwn2own 2011.这不是我们休息的劳雷尔,但我仍然对此感到高兴,”说布伦丹埃希莫扎拉的CTO,上周在推文中。“祝贺镀铬幸存。”
“幸存的浏览器:开源,有赏金的程序,已经嵌入了安全团队,更好的修复。巧合?”鸣叫克里斯埃文斯是Chrome安全团队的工程师。
智能手机运行谷歌的Android和微软Windows Phone 7操作系统也毫发无发布的PWN2OWN。
上周的比赛是第三个连续第三个PWN2所Chrome没有被剥夺由研究人员。这是Firefox第一次,因为浏览器被指定为2009年的目标。
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer.或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@computerworld.com.。
阅读有关恶意软件和漏洞的更多信息在Computerworld的恶意软件和漏洞主题中心。
这个故事,“Chrome中的Google补丁PWN2own Webkit Bug最初发布Computerworld. 。