谷歌本周在温哥华CanSecWest信息安全大会上举办了一个名为Pwnium的黑客大赛,谷歌悬赏100万美元挑战黑客攻破Chrome浏览器安全防线。但重赏之下必有勇夫,一名俄罗斯大学生不久便成功攻破了运行Chrome浏览器的PC。这名名为谢尔盖•格拉祖诺夫(Sergey Glazunov)的大学生成功攻破Chrome浏览器,因此而获得了6万美元奖金。 据悉,格拉祖诺夫在攻击中使用了此前未曾发现的漏洞,从而绕过了Chrome浏览器的“沙箱”(sandbox)限制而成功攻破了Chrome浏览器插件的子系统。谷歌信息安全团队成员贾斯汀•沙赫(Justin Schuh)在Twitter上确认了这一消息。 “他并没有攻破沙箱,但是成功的绕过了这一系统”沙赫在接受采访时说道。 事实上,在惠普旗下Zero Day Initiative举行的Pwn2Own黑客大赛上,来自信息安全公司VUPEN的一个团队也在5分钟内成功攻破了Chrome浏览器。该团队表示,已经发现了新的漏洞,并计划在IE、Safari和火狐浏览器加以“展示”。 这是谷歌Chrome浏览器首次在公开举行的黑客大赛上被攻破。在过去3年中,Chrome浏览器一直都是Pwn2Own黑客大赛攻击的主要目标,但一直没有黑客能攻破该浏览器。因此,谷歌在今年加大了悬赏力度。 作为Pwn2Own的赞助商,谷歌提供了2万美元的奖金奖励能攻破Chrome浏览器的黑客。但去年没有人能够拿走这笔奖金。今年谷歌没有与惠普合作,而是独自举办了Pwnium黑客大赛,并悬赏100万美金。 值得一提的是,由于Chrome浏览器此次被攻破,谷歌将失去一个营销看点,即Chrome浏览器并不能抵御所有的黑客攻击。不过谷歌信息安全团队表示,举办黑客大赛的目的并不是证明Chrome浏览器安全性,而是帮助谷歌找到浏览器的缺陷,以便开发针对性的补丁。 文/搜狐IT
