Chromium 官方博客对 Pwn2Own 大赛的补充说明

Posted by pudd on February 8, 2011

非常荣幸,我们的 Chrome 将继续参加今年的 Pwn2Own 黑客大赛。 其实在最开始,Chrome 还不是这场大赛上场的浏览器之一,但是 Google 自愿提供能突破 Chrome 防线的选手以现金奖励,得以让 Chrome 和其他浏览器一同接受黑客的挑战。

这些年来我们与系统安全社区的合作非常顺利,我们很乐意为开发者们提供现金奖励,以感谢他们为 Chrome 安全性提升作出的重要贡献。而资助这场黑客大赛,自然更有利于检测和修复 Chrome 的安全漏洞。在此我们将以问答的形式回应读者最感兴趣的问题:

Q) Chrome OS 也会上场吗? A)今年还不会,毕竟 Chrome OS 还在 beta 测试阶段。

根据大会主赞助商 HP TippingPoint / ZDI 的比赛规则,参赛的 Chrome 将安装在 Win7 里,版本为最新稳定版。不过 Chrome OS (Cr-48) 还真会露一下脸,但是是作为奖品出现的。

Q) 你们自信 Chrome 能刀枪不入吗?

不,即使 Chrome 的安全结构极其强壮,且在历年的 Pwn2Own 里表现非常优秀。

我们认识到,任何网络浏览器都是一个庞大的工程项目,必定有修不完的漏洞和复杂的外部插件依赖,这也正是 Chromium 安全奖励计划Web Application 奖励计划的存在意义。作为一个由大量安全研究者组成的团队,我们深知奖励安全社区工作者的重要性,他们不仅让我们的软件更加完善,还间接教会了我们很多东西。一般而言,漏洞实例能让我们学习到大量新内容。

Q) 比赛奖励规则是怎么样的?

A) 我们将与 ZDI 共同制定奖励规则,利用 Chromium 代码漏洞或第三方组件漏洞(如系统内核漏洞或驱程漏洞)成功攻击的选手都能得到奖励。

当然,我们将优先奖励挖掘出 Chromium 漏洞的黑客,其一我们可以直接修复漏洞,其二我们能学习到更多与我们代码相关的问题。

在比赛的第一天,如果选手可以利用 Chrome 的漏洞,逃离沙箱,击垮浏览器,Google 会提供 $20,000 的奖励。第二和第三天,规则则放宽到利用任何设备漏洞(系统内核漏洞、驱程漏洞、系统库漏洞等)来完成攻击,此时 Google 和 ZDI 将分别对黑客提供 $10,000 奖励。

唯有 ZDI 对条例有最终控制权和解释权。

Q) 这个比赛对 Chromium 安全奖励计划有影响吗?

A) 安全奖励计划会继续提供高达 $3,133.7 的单独 bug 奖励,而且该奖励不限于用于袭击系统的 bug ,这样部分无法在 Pwn2Own 使用的漏洞(或不符合 Pwn2Own 规则的漏洞)也可以得到相应奖励。

我们非常希望开发者可以继续参与 Chromium 安全改进项目。

via chromiumblog