(轉)Google反駁VUPEN:Chrome漏洞其實是Flash臭蟲
Google反駁VUPEN:Chrome漏洞其實是Flash臭蟲
文/陳曉莉 (編譯) 2011-05-12
Google安全工程師透過Twitter表示,VUPEN誤解了Chrome中沙箱運作的方式,
這只是一個Flash臭蟲。
法國資安業者VUPEN本周一(5/9)表示已找到攻陷Chrome瀏覽器的方式,宣稱
可繞過Chrome中的所有安全機制,並在沙箱外執行任何程式。不過,Google
安全工程師隨之於Twitter上透露,那並不是Chrome的漏洞,而是Flash臭蟲,
雙方隨之在Twitter上掀起了口水戰。
VUPEN於Windows 7平台上展示了Chrome瀏覽器的漏洞,當使用者造訪一個含有
攻擊程式的網頁時,該攻擊程式會執行許多封包,最後從遠端下載一個計算機,
並在Chrome的沙箱外執行。該攻擊程式同時可在Chrome 11與Chrome 12上運作。
而Google安全工程師Tavis Ormandy則透過Twitter表示,VUPEN誤解了Chrome中
沙箱運作的方式,這只是一個Flash臭蟲。 VUPEN執行長Chaouki Bekrar亦於
Twitter上回應指出,不管沙箱如何運作,現在大家都知道就算Chrome有聞名的
沙箱但Chrome仍會被攻陷。
Google另一名安全研究人員Dan Kaminsky也跳出來聲援自己的隊友,指出VUEPN
所展示的是個正統的攻擊,但該攻擊需要Flash,並不是一個Chrome攻擊程式;
難道會因為Google支援NPAPI(跨平台外掛程式架構)就要把Java的臭蟲算到
Chrome頭上嗎?
Bekrar則說,當發現重大漏洞時,包括Google在內的所有軟體供應或開發商總
都想貶抑相關發現。 目前Google仍在調查該漏洞,尚未針對此事發表官方回應。
VUPEN去年更改了該公司的漏洞揭露政策,不再提交細節報告予軟體開發商,而
僅與該公司客戶分享。(編譯/陳曉莉)
來源:http://www.ithome.com.tw/itadm/article.php?c=67563
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.4.193
→
05/12 21:05, , 1F
05/12 21:05, 1F
→
05/12 22:07, , 2F
05/12 22:07, 2F
推
05/12 23:32, , 3F
05/12 23:32, 3F
→
05/13 09:50, , 4F
05/13 09:50, 4F
推
05/13 16:16, , 5F
05/13 16:16, 5F
推
05/14 01:03, , 6F
05/14 01:03, 6F
推
05/14 12:39, , 7F
05/14 12:39, 7F