Pwn2Own大会已经尘埃落定,各大浏览器厂商针对大会上发现的漏洞都陆续推出了自家的补丁。谷歌也在周一针对大会发现的漏洞推出了一系列补丁,并针对windows,mac和linux分别发布了新版本的chrome。
今年的Pwn2Own大会在温哥华与CanSecWest会议同时进行,大会向外界展示了大多数主流浏览器的很多漏洞及相关exp,其中包括IE,firefox和chrome。来自法国一个安全漏洞exp买卖公司VUPEN的队伍最终拿到了谷歌提供的几十万美元的奖金。除了比赛奖金,谷歌还为那些在chrome中发现漏洞的研究者提供了奖励。
VUPEN因为两个chrome的漏洞赢得了谷歌提供的10万美元的奖金,另外还有一个匿名研究者因为两个不同的漏洞获得了6万美元。谷歌在33版本chrome中修复的漏洞有,(均来自Pwn2Own):
[$100,000] [352369] 沙箱外的代码执行,由VUPEN发现。
[352374] High CVE-2014-1713: Use-after-free in Blink bindings
[352395] High CVE-2014-1714: Windows 剪贴板漏洞
[$60,000] [352420] 沙箱外的代码执行. 由匿名人员发现。
[351787] High CVE-2014-1705: 在v8引擎中的内存泄漏
[352429] High CVE-2014-1715: 目录遍历漏洞
IE和firefox的补丁可能会在稍后的时间里推出,因为他们的更新周期比chrome要长。谷歌通常是在出现重大漏洞之后会立刻推出新版本的chrome。谷歌的安全人员透露,他们计划在接下来的几周里会部分公布Pwn2Own大会上发现的漏洞详情。
谷歌的Anthony Laforge 在他的博客里说到:“我们为能在Pwn2Own大会上发现漏洞和学习新的攻击方式而感到高兴。我们预计会在不久的将来同步加入其他的一些修改,并强化漏洞修补措施。我们同样相信这些漏洞的发现是一种艺术并理应得到分享和尊重。我们计划在未来会针对Pwn2Own上发现的漏洞发布一个技术报告”