Chromium 官方博客对 Pwn2Own 大赛的补充说明
luyued 发布于 2011-02-12 18:16 浏览 N 次非常荣幸,我们的 Chrome 将继续参加今年的 Pwn2Own 黑客大赛。
其实在最开始,Chrome 还不是这场大赛上场的浏览器之一,但是 Google 自愿提供能突破 Chrome 防线的选手以现金奖励,得以让 Chrome 和其他浏览器一同接受黑客的挑战。
这些年来我们与系统安全社区的合作非常顺利,我们很乐意为开发者们提供现金奖励,以感谢他们为 Chrome 安全性提升作出的重要贡献。而资助这场黑客大赛,自然更有利于检测和修复 Chrome 的安全漏洞。在此我们将以问答的形式回应读者最感兴趣的问题:
Q) Chrome OS 也会上场吗?
A)今年还不会,毕竟 Chrome OS 还在 beta 测试阶段。
根据大会主赞助商 HP TippingPoint / ZDI 的比赛规则,参赛的 Chrome 将安装在 Win7 里,版本为最新稳定版。不过 Chrome OS (Cr-48) 还真会露一下脸,但是是作为奖品出现的。
Q) 你们自信 Chrome 能刀枪不入吗?
不,即使 Chrome 的安全结构极其强壮,且在历年的 Pwn2Own 里表现非常优秀。我们认识到,任何网络浏览器都是一个庞大的工程项目,必定有修不完的漏洞和复杂的外部插件依赖,这也正是 Chromium 安全奖励计划和 Web Application 奖励计划的存在意义。作为一个由大量安全研究者组成的团队,我们深知奖励安全社区工作者的重要性,他们不仅让我们的软件更加完善,还间接教会了我们很多东西——一般而言,漏洞实例能让我们学习到大量新内容。
Q) 比赛奖励规则是怎么样的?
A) 我们将与 ZDI 共同制定奖励规则,成功挖掘出 Chromium 代码漏洞或第三方组件(如系统内核漏洞或驱程漏洞)的选手都能得到奖励。
当然,我们将优先奖励挖掘出 Chromium 漏洞的黑客,其一我们可以直接修复漏洞,其二我们能学习到更多与我们代码相关的问题。
在比赛的第一天,如果选手可以利用 Chrome 的漏洞,逃离沙箱,击垮浏览器,Google 会提供 $20,000 的奖励。第二和第三天,规则则放宽到利用任何设备漏洞(系统内核漏洞、驱程漏洞、系统库漏洞等)来完成攻击,此时 Google 和 ZDI 将分别对黑客提供 $10,000 奖励。
唯有 ZDI 对条例有最终控制权和解释权。
Q) 这个比赛对 Chromium 安全奖励计划有影响吗?
A) 安全奖励计划会继续提供高达 $3,133.7 的单独 bug 奖励,而且该奖励不限于用于袭击系统的 bug ,这样部分无法在 Pwn2Own 使用的漏洞(或不符合 Pwn2Own 规则的漏洞)也可以得到相应奖励。
我们非常希望开发者可以继续参与 Chromium 安全改进项目。
via chromiumblog
- 05-27· 修身岂为名传世 做事唯思
- 05-18· 牙依舊很疼= =
- 05-16· 产品历史
- 05-14· 四月行记之<金碧辉煌的
- 05-14· 5月24日,《经济补偿金、
- 05-14· 怎样调整办公坐向?
- 05-14· 经典款的怀旧魅力!天梭唯
- 05-14· 凯王液下泵业董事
- 05-14· 上海凯王煤气灶维修...
- 05-14· $ 专☆修 『凯王』 上海
- 05-14· 最近我很好~
- 05-14· 评《大宅门》中的白佳莉
- 05-13· 2011年财富新贵走俏餐具行
- 05-13· “餐洁仕”由来与发展
- 05-12· 快乐生活每一天---【转载
- 05-12· “宫城野上闻秋风。唯思
- 05-12· 唯思主义批判 (2011-03-11
- 05-12· 公司简介
- 05-12· 珍惜```时间的.名-言警句
- 05-12· 友情提示:安全驾车顺口溜