当前位置:安全资讯 >> 全文

谷歌披露价值10万美元的Chrome OS漏洞

发布时间:2017-11-17 20:04 标签: ChromeOS
分享到 0

谷歌公布了价值10万美元的一个漏洞详情。该漏洞是Chrome OS的一个代码执行利用链。

20153月,谷歌宣布如能发现一个利用链从而导致以guest模式经由一个网页持续攻陷ChromeboxChromebook,那么就可获取最多10万美元的奖励。在此之前,谷歌对此类利用代码的奖励最多为5万美元。

网络昵称为 Gzob Qq 的一名研究员在918日告知谷歌称他发现了一系列漏洞可引发在Chrome OS(运行在ChromeboxChromebook设备上的操作系统)上的持续代码执行问题。

这个利用代码链包括存在于JavaScript引擎中的一个带外内存访问缺陷 (CVE-2017-15401)、存在于PageState中的权限提升漏洞(CVE2017-15402)network_diag 组件中的一个命令注入缺陷 (CVE-2017-15403) 以及存在于crash_reporter (CVE-2017-15404) 中和cryptohomed (CVE-2017-15405) 中的系统链接遍历问题。

Gzob Qq向谷歌提供了在Chrome 60Chrome OS平台版本9592.94.0上测试过的一个PoC利用代码。谷歌在1027日通过发布Chrome 62平台版本 9901.54.0/1修复了这些漏洞,并且还解决了最近披露的KRACK漏洞。

谷歌在1011日告知这名研究人员称,他已获得10万美元的Pwnium奖励。Pwnium是为期一天的年度黑客竞赛,由谷歌和CanSecWest会议自20152月起开始改为年度活动。

Gzob Qq发布的首份报告对整个利用链进行了说明并由谷歌在本周早些时候公布,谷歌同时还发布了针对每个漏洞的安全建议公告。

这并非这名研究人员首次从谷歌获得10万美元的奖励。大概一年前,他报告了一个类似的Chrome OS利用链,并获得了同等数额的奖励。

2014年,在Pwnium竞赛中,研究员GeorgeHotz因发现一个持续的Chrome OS利用代码而获得15万美元的奖励。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/google-discloses-details-100000-chrome-os-flaws
参与讨论,请先 登录 | 注册

用户评论