您当前的位置是:  首页 > 新闻 > 国际 >
 首页 > 新闻 > 国际 >

微软揭露Chrome漏洞拿到1.5万美元Google抓漏奖金

2017-10-20 14:20:27   作者:   来源:CTI论坛   评论:0  点击:


  Google安全团队Project Zero多次揭露微软产品的安全漏洞,有几次更在微软修补前即公布,惹来微软的不满,双方曾为此隔空交战,微软周三也揭露Chrome浏览器漏洞,并指其沙箱政策安全性不足,修补政策无法有效防堵骇客攻击。
  微软於本周三(10/18)公布了一藏匿在Google Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote Code Execution,RCE)漏洞,指出强调沙箱安全政策对於Chrome的安全性来说并不足够,同时批评Google的修补程序有瑕疵。
  外界纷纷将微软此举视为是「以其人之道还治其身」的作法。Google的爬虫团队Project Zero多次公布微软产品的安全漏洞,其中更有几次是在微软尚未修补前公开,双方还曾为此隔空交战。本月初,Project Zero亦抨击微软的修补措施有问题,指出微软经常优先修补最新作业系统的安全漏洞,骇客便可藉由程式码的比对找出旧版Windows中的同样漏洞并伺机攻击。
  微软的「反击」是以自行开发的漏洞检查工具ExprGen来检验Chrome浏览器所使用的V8 JavaScript引擎,发现了CVE-2017-5121与其他臭虫 ,还打造了开采CVE-2017-5121漏洞的攻击程式,并於今年9月14日将它们提交给Google,总计获得Google所颁发的15837美元爬漏奖金,其中,光是CVE-2017-5121漏洞的奖金便占了7500美元。Google已於9月中旬释出的Chrome 61修补了相关漏洞。
  微软表示,Chrome相关缺乏RCE的防范机制,意味着从记忆体损坏臭虫到远端执行程式漏洞的路径可能很短,且於沙箱内的多种安全检查让RCE攻击程式得以绕过同源政策,以便存取受害者正执行的网路服务或储存相关凭证。
  微软同样也批评了Google的修补政策,指出Google先将修补程式上传至GitHub的V8专案,再於3天後修补Chromium专案与Chrome浏览器,而这短短的几天已足以让骇客取得漏洞资讯、打造开采程式并发动攻击。
  尽管多数人都认为微软是在对Google还以颜色,但双方在爬漏上的竞争也将替使用者创造更安全的数字环境。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题