欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁 > 新聞 > 國際 >
 首頁 > 新聞 > 國際 >

微軟揭露Chrome漏洞拿到1.5萬美元Google抓漏獎金

2017-10-20 14:20:27   作者:   來源:CTI論壇   評論:0  點擊:


  Google安全團隊Project Zero多次揭露微軟產(chǎn)品的安全漏洞,有幾次更在微軟修補前即公布,惹來微軟的不滿,雙方曾為此隔空交戰(zhàn),微軟周三也揭露Chrome瀏覽器漏洞,并指其沙箱政策安全性不足,修補政策無法有效防堵駭客攻擊。
  微軟於本周三(10/18)公布了一藏匿在Google Chrome瀏覽器的安全漏洞,編號為CVE-2017-5121為一遠端程式執(zhí)行(Remote Code Execution,RCE)漏洞,指出強調(diào)沙箱安全政策對於Chrome的安全性來說并不足夠,同時批評Google的修補程序有瑕疵。
  外界紛紛將微軟此舉視為是「以其人之道還治其身」的作法。Google的爬蟲團隊Project Zero多次公布微軟產(chǎn)品的安全漏洞,其中更有幾次是在微軟尚未修補前公開,雙方還曾為此隔空交戰(zhàn)。本月初,Project Zero亦抨擊微軟的修補措施有問題,指出微軟經(jīng)常優(yōu)先修補最新作業(yè)系統(tǒng)的安全漏洞,駭客便可藉由程式碼的比對找出舊版Windows中的同樣漏洞并伺機攻擊。
  微軟的「反擊」是以自行開發(fā)的漏洞檢查工具ExprGen來檢驗Chrome瀏覽器所使用的V8 JavaScript引擎,發(fā)現(xiàn)了CVE-2017-5121與其他臭蟲 ,還打造了開采CVE-2017-5121漏洞的攻擊程式,并於今年9月14日將它們提交給Google,總計獲得Google所頒發(fā)的15837美元爬漏獎金,其中,光是CVE-2017-5121漏洞的獎金便占了7500美元。Google已於9月中旬釋出的Chrome 61修補了相關(guān)漏洞。
  微軟表示,Chrome相關(guān)缺乏RCE的防范機制,意味著從記憶體損壞臭蟲到遠端執(zhí)行程式漏洞的路徑可能很短,且於沙箱內(nèi)的多種安全檢查讓RCE攻擊程式得以繞過同源政策,以便存取受害者正執(zhí)行的網(wǎng)路服務(wù)或儲存相關(guān)憑證。
  微軟同樣也批評了Google的修補政策,指出Google先將修補程式上傳至GitHub的V8專案,再於3天後修補Chromium專案與Chrome瀏覽器,而這短短的幾天已足以讓駭客取得漏洞資訊、打造開采程式并發(fā)動攻擊。
  盡管多數(shù)人都認為微軟是在對Google還以顏色,但雙方在爬漏上的競爭也將替使用者創(chuàng)造更安全的數(shù)字環(huán)境。
【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題