黑客大赛 Chrome 浏览器两次均在五分钟内被攻破
| 2012-03-09 08:26
本周三,Google 设置在 Pwn2Own 大赛的服务器显示出一个简短的黑屏,事后,CanSecWest 组织者证实,Chrome 被 Pwn2Own 竞赛中的黑客成功攻破。信息安全公司 Vupen 团队利用浏览器中的一个安全漏洞,在比赛刚刚开始的五分钟内就将其破解,该团队表示,已经发现了新的漏洞,并将在 IE、Safari 和 FireFox 浏览器上证明。进行中的比赛还发现了其他的 32 个安全漏洞。
而另一名俄罗斯大学生谢尔盖·格拉祖诺夫(Sergey Glazunov)同样成功攻破了运行 Chrome 浏览器的 PC。格拉祖诺夫在攻击中使用了此前一个未发现的漏洞,从而绕过了 Chrome 浏览器“沙箱”的限制。
谷歌信息安全团队成员贾斯汀·沙赫(Justin Schuh)已经在 Twitter 上确认了这一消息。
这个漏洞的具体细节尚不清楚,但是这个漏洞使得黑客成功进入沙盒,运行代码破解 Google 浏览器的防护。黑客提前已经做好了袭击的准备,而且看起来 Google 本身也有意愿测试一下 Chrome。
这次黑客攻击破除了 Google 公司一直坚持的 Chrome 是“最安全”浏览器的说法。由此可见,它未必比 Pwn2Own 之前的目标 Safari 更加安全。
Google 是第一个如果破解给定浏览器标签或者插件就会封锁住其他部分,从而使其不被攻击的浏览器,但是现在事实证明,这种做法未必行之有效。绝大多数的浏览器都需要某种形式的沙盒,无论是否给定了浏览器标签或者插件。
这是谷歌 Chrome 浏览器首次在公开举行的黑客大赛上被攻破。过去 3 年中,Chrome 浏览器也是 Pwn2Own 黑客大赛的攻击目标,但一直没有黑客能攻破该浏览器。因此,谷歌今年加大了悬赏。
去年,作为 Pwn2Own 的合作赞助商,谷歌提供了 2 万美元奖金,奖励能攻破 Chrome 浏览器的黑客。不过,去年无人赢得这笔奖金。今年,谷歌没有与惠普合作,而是独自举办了 Pwnium 黑客大赛。
由于 Chrome 浏览器此次被攻破,谷歌将失去一个营销噱头,即 Chrome 浏览器能抵御任何黑客攻击。不过谷歌信息安全团队表示,举办这一黑客大 赛并不是为了证明 Chrome 浏览器的安全性,而是找到该浏览器的缺陷。谷歌要求所有赢得奖金的参赛者向该公司提供详细的攻击方式,以便谷歌开发针对性的补丁。