chrome 33中修复了4个Pwn2Own大会上发现的漏洞

路人甲 2014-03-18 13:12:00

Pwn2Own大会已经尘埃落定,各大浏览器厂商针对大会上发现的漏洞都陆续推出了自家的补丁。谷歌也在周一针对大会发现的漏洞推出了一系列补丁,并针对windows,mac和linux分别发布了新版本的chrome。

今年的Pwn2Own大会在温哥华与CanSecWest会议同时进行,大会向外界展示了大多数主流浏览器的很多漏洞及相关exp,其中包括IE,firefox和chrome。来自法国一个安全漏洞exp买卖公司VUPEN的队伍最终拿到了谷歌提供的几十万美元的奖金。除了比赛奖金,谷歌还为那些在chrome中发现漏洞的研究者提供了奖励。

VUPEN因为两个chrome的漏洞赢得了谷歌提供的10万美元的奖金,另外还有一个匿名研究者因为两个不同的漏洞获得了6万美元。谷歌在33版本chrome中修复的漏洞有,(均来自Pwn2Own):

[$100,000] [352369] 沙箱外的代码执行,由VUPEN发现。
[352374] High CVE-2014-1713: Use-after-free in Blink bindings
[352395] High CVE-2014-1714: Windows 剪贴板漏洞
[$60,000] [352420] 沙箱外的代码执行. 由匿名人员发现。
[351787] High CVE-2014-1705: 在v8引擎中的内存泄漏
[352429] High CVE-2014-1715: 目录遍历漏洞

IE和firefox的补丁可能会在稍后的时间里推出,因为他们的更新周期比chrome要长。谷歌通常是在出现重大漏洞之后会立刻推出新版本的chrome。谷歌的安全人员透露,他们计划在接下来的几周里会部分公布Pwn2Own大会上发现的漏洞详情。

谷歌的Anthony Laforge 在他的博客里说到:“我们为能在Pwn2Own大会上发现漏洞和学习新的攻击方式而感到高兴。我们预计会在不久的将来同步加入其他的一些修改,并强化漏洞修补措施。我们同样相信这些漏洞的发现是一种艺术并理应得到分享和尊重。我们计划在未来会针对Pwn2Own上发现的漏洞发布一个技术报告”

评论

X

xsser 2014-03-18 15:17:12

求细节啊 没细节说个jj

路人甲

真正的路人甲.

twitter weibo github wechat

随机分类

XSS 文章:34 篇
MongoDB安全 文章:3 篇
网络协议 文章:18 篇
数据安全 文章:29 篇
其他 文章:95 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录