360专家发现Android漏洞链获11.25万美元奖金_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 360专家发现Android漏洞链获11.25万美元奖金

360专家发现Android漏洞链获11.25万美元奖金

 2018/1/22 15:28:20    程序员俱乐部  我要评论(0)
  • 摘要:AndroidSecurityRewards(ASR)项目是Google于2015年启动,主要对那些向公司提交Android安全漏洞的安全专家提供奖励。该项目要求专家在运行最新Android版的Pixel手机和平板上进行测试,然后根据漏洞的危险程度来提供不同的奖金。在2017年6月份,项目得到了安全专家和白客的大力支持,Google表示:“每个Android版本包含更多的安全保护,但是已经有两年没有专家获得漏洞链这个顶级大奖了。”不过在上周五
  • 标签:android 发现 360 漏洞

  Android Security Rewards(ASR)项目是 Google 于 2015 年启动,主要对那些向公司提交 Android 安全漏洞的安全专家提供奖励。该项目要求专家在运行最新 Android 版的 Pixel 手机和平板上进行测试,然后根据漏洞的危险程度来提供不同的奖金。

android-security_story.jpg

  在 2017 年 6 月份,项目得到了安全专家和白客的大力支持,Google 表示:“每个 Android 版本包含更多的安全保护,但是已经有两年没有专家获得漏洞链这个顶级大奖了。”不过在上周五,公司终于宣布来自奇虎 360 技术公司的 Guang Gong 赢得了这个大奖,奖金共计达到 11.25 万美元(约合 72 万人民币)。

  获奖主要是因为 360 在去年 8 月份向 Google 提交了 CVE-2017-5116 漏洞和 CVE-2017-14904 漏洞,前者允许通过精心制作的 HTML 在沙盒中执行任意远程代码;后者则允许从沙盒中逃脱。

  如果将这两个漏洞组合使用,能够允许在 Pixel 的 system_server 进程中远程注入任意代码。而且更糟糕的是,攻击者只需要用户在 Chrome 中点击精心制作的恶意 URL 就能发起攻击。

  根据 Google 方面表示,Gong 将会从 ASR 项目中获得 10.5 万美元奖金,这也是该项目颁布的最高奖金。此外的 7500 美元来自于 Chrome Rewards 项目,该项目于 2010 年启动,主要奖励那些向公司提交 Chrome 和 Chrome OS 安全漏洞的专家。

  更多信息访问:https://security.googleblog.com/2018/01/android-security-ecosystem-investments.html

发表评论
用户名: 匿名