|
|
Google手中最大的VRP bug賞金波蘭科學(xué)家授予61K美元尋找App Engine缺陷。遠(yuǎn)程控制軟件
1.jpg (52.41 KB, 下載次數(shù): 930)
下載附件
2015-1-1 12:03 上傳
谷歌已經(jīng)把波蘭安全研究團(tuán)隊(duì)50000美元(61000美元)的現(xiàn)金獎(jiǎng)勵(lì)發(fā)現(xiàn)一系列的漏洞在Google App Engine開(kāi)發(fā)者平臺(tái),這有可能使入侵者訪問(wèn)超出自己的虛擬機(jī)。
本月早些時(shí)候,安全探索聲稱(chēng)發(fā)現(xiàn)了多達(dá)30平臺(tái)即服務(wù)提供的缺陷,其表示可以讓攻擊者繞過(guò)甲骨文Java安全沙箱。
但在他們可以測(cè)量缺陷的嚴(yán)重程度,研究人員檢測(cè)到谷歌的安全系統(tǒng)和鎖的Google App Engine賬戶(hù),防止任何進(jìn)一步的調(diào)查。
然而幾周后,谷歌給團(tuán)隊(duì)的“綠燈”完成的勘探GAE缺陷,并編譯報(bào)告他們的發(fā)現(xiàn),只要他們有限的工作Java虛擬機(jī)(JVM)層,而不是下一個(gè)沙盒層。
團(tuán)隊(duì)12月11日重新啟動(dòng)他們的工作和已經(jīng)報(bào)道,他們能夠篩選出21個(gè)安全問(wèn)題“生產(chǎn)”證實(shí),包括額外的核心GAE Java安全層中發(fā)現(xiàn)的缺陷。
它說(shuō),谷歌已經(jīng)承認(rèn),“安全探索的報(bào)告表明,一個(gè)公司的層層防御措施不足對(duì)某種特定類(lèi)型的攻擊和特權(quán)的Java類(lèi)的審計(jì)是不夠的”。據(jù)報(bào)道,谷歌已經(jīng)固定的缺陷,雙方能夠達(dá)成一致,并與安全的探索仍在討論別人的少數(shù)。灰鴿子下載
努力也導(dǎo)致了50000美元的現(xiàn)金獎(jiǎng)勵(lì)根據(jù)谷歌的脆弱性獎(jiǎng)勵(lì)計(jì)劃(VRP),該方案是否支付,賞金最高的Chrome VRP是獨(dú)立的。
安全探索反過(guò)來(lái)祝賀的網(wǎng)絡(luò)巨頭”設(shè)置高標(biāo)準(zhǔn)的支持和欣賞時(shí)外部進(jìn)行安全研究”。 |
|
加載中...
發(fā)表于 2015-1-1 12:03:16
QQ好友和群
收藏
發(fā)表于 2015-1-13 16:46:32