设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Chrome中的5个漏洞被修复,Google奖励发现漏洞人员2W美元

2016-5-13 17:08| 发布者: 随便、先森。| 查看: 1041| 评论: 0|来自: 360安全播报

摘要: 近日,Google公司发表公告,敦促广大使用Windows、Mac OS以及Linux操作系统的用户,要尽快更新自己终端上的Chrome浏览器版本,以便于消除由5个漏洞带来的安全隐患。在已曝出的5个漏洞中,其中有2个威胁性最高。周三 ...

近日,Google公司发表公告,敦促广大使用WindowsMac OS以及Linux操作系统的用户,要尽快更新自己终端上的Chrome浏览器版本,以便于消除由5个漏洞带来的安全隐患。在已曝出的5个漏洞中,其中有2个威胁性最高。周三时候,Google发布了Chrome浏览器的最新版(50.0.2661.102),并提醒用户需对漏洞给予重视。

Chrome中的这5个漏洞是由来自谷歌公司Google's Chromium Project项目团队中,bug bounty program(漏洞猎捕团队)的4位研发人员(Google公司将他们称为“漏洞猎手”)发现的。在这个漏洞猎手队伍中,有一位来自波兰的,名叫Mariusz Mlynski的安全研究员,他因为找到了Chrome浏览器中存在的两个关键漏洞,获得了Google公司15500美元的奖励,从而引起了人们的关注。

Chrome漏洞的其中之一就是Mlynski发现的CVE-2016-1667Mlynski将其解释为DOM(文档对象类型)同源分流漏洞(same origin bypass in DOM)。相较于其他4个漏洞,它具有极强的威胁性。该漏洞是基于Chrome浏览器中的DOM平台。远程攻击者可利用该漏洞,通过未定义的向量绕过HTMLXML中的同源策略防护,进而对用户实施攻击。由于发现这一漏洞,Mlynski获得了8000美元的奖励。

Mlynski发现的第二个漏洞是CVE-2016-1668,他将其描述为绕过同源Blink V8 引擎绑定保护(same origin bypass in Blink V8 bindings)。这一漏洞的发现,给Mlynski带来了7500美元的收入。远程攻击者可利用该漏洞,通过一个精心制作的网站来绕过Blink V8引擎的同源保护。V8引擎是由Chromium Project项目组为Chrome浏览器开发的一款开源JavaScript插件引擎。

Mlynski是一名经验丰富的漏洞猎手,他曾在Pwn2Own Contest等黑客大赛上有过优异的表现。

另一名安全研究员Choongwoo Han因发现CVE-2016-1669漏洞,而获得了3000美元奖金。该漏洞会导致V8引擎中的缓冲区溢出。这个漏洞同样具有很强大的破坏力。黑客可通过该漏洞,对目标系统实施拒绝式攻击,使其在短时间内无法响应来自用户的指令。

在剩下的两个漏洞中,一个是破坏加载器运行条件(race condition in loaderCVE-2016-1670),是由一位匿名的漏洞猎手发现。他获得了1337美元的奖金。另一个具有威胁性的漏洞(CVE-2016-1671)是由研究员Jann Horn发现的,他将其称为:在Android系统中可遍历文件目录,随意浏览系统文件。他因此获得了500美元奖励。

Google公司表示,在大多数用户完成Chrome版本更新期间,我们将会陆续披露更多关于这5个漏洞的细节,以及相关研究员的研究成果。



原文链接:https://threatpost.com/five-vulnerabilities-fixed-in-chrome-browser-google-pays-20k-to-bug-hunters/118049/


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部