Pwn2Own大會已經塵埃落定,各大瀏覽器廠商針對大會上發現的漏洞都陸續推出了自家的補丁。谷歌也在周一針對大會發現的漏洞推出了一系列補丁,并針對windows,mac和linux分別發布了新版本的chrome。
今年的Pwn2Own大會在溫哥華與CanSecWest會議同時進行,大會向外界展示了大多數主流瀏覽器的很多漏洞及相關exp,其中包括IE,firefox和chrome。來自法國一個安全漏洞exp買賣公司VUPEN的隊伍最終拿到了谷歌提供的幾十萬美元的獎金。除了比賽獎金,谷歌還為那些在chrome中發現漏洞的研究者提供了獎勵。
VUPEN因為兩個chrome的漏洞贏得了谷歌提供的10萬美元的獎金,另外還有一個匿名研究者因為兩個不同的漏洞獲得了6萬美元。谷歌在33版本chrome中修復的漏洞有,(均來自Pwn2Own):
[$100,000] [352369] 沙箱外的代碼執行,由VUPEN發現。
[352374] High CVE-2014-1713: Use-after-free in Blink bindings
[352395] High CVE-2014-1714: Windows 剪貼板漏洞
[$60,000] [352420] 沙箱外的代碼執行. 由匿名人員發現。
[351787] High CVE-2014-1705: 在v8引擎中的內存泄漏
[352429] High CVE-2014-1715: 目錄遍歷漏洞
IE和firefox的補丁可能會在稍后的時間里推出,因為他們的更新周期比chrome要長。谷歌通常是在出現重大漏洞之后會立刻推出新版本的chrome。谷歌的安全人員透露,他們計劃在接下來的幾周里會部分公布Pwn2Own大會上發現的漏洞詳情。
谷歌的Anthony Laforge 在他的博客里說到:“我們為能在Pwn2Own大會上發現漏洞和學習新的攻擊方式而感到高興。我們預計會在不久的將來同步加入其他的一些修改,并強化漏洞修補措施。我們同樣相信這些漏洞的發現是一種藝術并理應得到分享和尊重。我們計劃在未來會針對Pwn2Own上發現的漏洞發布一個技術報告”