Когда осела пыль, поднятая конкурсом Pwn2Own, производители браузеров начали выпускать патчи для уязвимостей, найденных конкурсантами. Google выпустила исправления для нескольких багов в Chrome, обнаруженных и эксплуатированных во время Pwn2Own, обновив версии браузера для Windows, Mac и Linux.

На Pwn2Own этого года, прошедшем в Ванкувере на конференции CanSecWest, были продемонстрированы уязвимости и эксплойты для большинства популярных браузеров, включая Internet Explorer и Firefox помимо Chrome. Команда из VUPEN, французской компании, специализирующейся на безопасности и продаже эксплойтов, увезла домой несколько сотен тысяч долларов призовых денег с конкурса, и большую часть из них они получили за продемонстрированные баги в Google Chrome. В дополнение к призовым деньгам с конкурса Google выплатила собственные награды исследователям за новые уязвимости в Chrome.

VUPEN получила награду $100 тыс. от Google за две уязвимости в Chrome, а анонимный исследователь заработал $60 тыс. за две другие уязвимости. Google исправил в Chrome 33 следующие уязвимости с Pwn2Own:

  • [$100,000] [352369] Исполнение кода вне песочницы. Обнаружено VUPEN.
  • [352374] CVE-2014-1713: Использование после освобождения в привязках Blink.
  • [352395] CVE-2014-1714: Уязвимость буфера обмена Windows.
  • [$60,000] [352420] Исполнение кода вне песочницы. Обнаружено анонимом.
  • [351787] CVE-2014-1705: Повреждение памяти в V8.
  • [352429] CVE-2014-1715: Проблема обхода директории.

Выпуск патчей для Internet Explorer и Firefox, скорее всего, займет больше времени, так как их циклы обновления дольше, чем у Google, и они выпускают новые версии вне зависимости от наличия серьезных проблем с безопасностью. Представители подразделения информационной безопасности Google сообщили, что они планируют опубликовать некоторые детали эксплойтов, использованных против Chrome на Pwn2Own, через несколько недель.

«Мы рады успеху Pwn2Own и возможностям по изучению эксплойтов. Мы ожидаем дополнительных изменений и мер укрепления для этих уязвимостей в ближайшем будущем. Мы также считаем, что оба эксплойта являются произведениями искусства и заслуживают более широкого распространения и признания. Мы собираемся в будущем выпустить технические отчеты по обоим эксплойтам с Pwn2Own», — сообщил Энтони Лафорж из Google в блог-посте.

Категории: Уязвимости