去年八月,奇虎360工程师Guang Gong向Google提交了CVE-2017-5116漏洞和CVE-2017-14904漏洞,前者允许通过精心制作的HTML在沙盒中执行任意远程代码;后者则允许从沙盒中逃脱
【PChome平板电脑频道资讯报道】为了提升操作系统的安全性,微软、谷歌等公司都会对那些发现并提交安全漏洞的工程师、安全专家等提供安全奖励。而近日,来自奇虎360的一名工程师因发现漏洞链获得了谷歌11.25万美元的奖金,约合人民币72万元。
据悉,Google ASR(Android Security Rewards)项目于2015年启动,主要对那些向公司提交Android安全漏洞的安全专家提供奖励。该项目要求专家在运行最新Android版的Pixel手机和平板上进行测试,然后根据漏洞的危险程度来提供不同的奖金。
去年八月,奇虎360工程师Guang Gong向Google提交了CVE-2017-5116漏洞和CVE-2017-14904漏洞,前者允许通过精心制作的HTML在沙盒中执行任意远程代码;后者则允许从沙盒中逃脱。如果将这两个漏洞组合使用,能够允许在Pixel的system_server进程中远程注入任意代码。Guang Gong凭借这一发现获得了ASR项目10.5万美元的奖金,以及Chrome Rewards项目7500美元的奖金,共计11.25万美元。
谷歌方面表示,“每个Android版本包含更多的安全保护,但是已经有两年没有专家获得漏洞链这个顶级大奖了。”
编辑点评:在Android设备遍布全球的情况下,漏洞链如果被黑客利用,将造成难以估量的损失。Google ASR项目很好地调动了安全专家和白客的积极性,在为他们提供高额奖励的同时,也进一步提升了Android系统的安全性。而Guang Gong的获奖,也从侧面反映了奇虎360等国内IT公司的强大实力。
网友评论