发布日期：2012-09-14


ZDNet

　谷歌赞助第二届Pwnium竞赛来奖励那些可以侵入系统的“漏洞猎手”，为那些能够展示出有用工具的人提供高达200万美元的奖励。第二届Pwnium竞赛将在今年10月马来西亚的HITB（Hack In The Box）大会上举行。搜索引擎巨人将会在黑客面前发布最新稳定版本的Chrome浏览器。谷歌公司在一篇宣布第二届Pwnium竞赛细节信息的博客中表示，底层下的操作系统和驱动程序将会完全地安装补丁，并且运行在Acer公司的Aspire V5-571-6869便携式电脑上。

　　“我们十分高兴通过最大努力让web更加安全——甚至是奖励那些在我们直接控制之外的漏洞”，谷歌公司的软件工程师Chris Evans在Chromium产品的博客中写到。

　　对于只出现在Chrome浏览器中的漏洞，谷歌将会为修复该漏洞的完整工具奖励6万美元，对于修复了部分使用Chrome浏览器以及其它浏览器或Windows系统漏洞（像Webkit 或是内核级别的缺陷）的工具，谷歌将会奖励5万美元。对于修复了非Chrome浏览器，像Flash、Windows系统或是驱动程序的漏洞工具奖励4万美元。此外，不完整或是不可靠的工具也可能有奖金，谷歌公司表示。“我们的奖励陪审团将会尽可能慷慨地判定任何这样的工作成果”，Evans写到。

　　随着在温哥华的2012 CanSecWest黑客大会上引入Pwnium黑客竞赛，谷歌公司在二月份延长了它的Chromium安全奖励项目。Pwnium黑客竞赛紧跟着HP旗下TippingPoint公司的Pwn2Own黑客竞赛，奖励研究人员们100万美元。该公司是包括Mozilla 和 Facebook等几家在内提供寻找漏洞奖金项目的公司之一。而微软仍继续反对漏洞奖励项目。

　　在CanSecWest黑客大会上，Vupen公司的安全人员在5分钟内拿下Chrome赢得竞赛，使研究人员能利用该攻击方式绕过沙盒技术以及Windows中的DEP（数据执行保护技术）和ASLR（地址空间布局随机化）限制。在Pwn2Own黑客竞赛中，谷歌的Chrome浏览器中的某个缺陷也被成功利用，能让研究人员绕过浏览器的沙盒并且获得对系统的访问。

　　“我们收到了两份此类极具复杂性和质量的报告，它们都在今年的黑帽大会上赢得了Pwnie奖励，”Evans在首届Pwnium竞赛中写到。“更为重要的是，我们能够基于已经获得的信息让Chromium更加安全”。