谷歌向一个波兰安全研究人员团队(SecurityExplorations)送出5万美元的现金奖励,以表彰他们在GoogleApp Enginee开发平台上的多个漏洞,这些漏洞允许入侵者访问其他虚拟机。
本月初,这个团队声称在PaaS平台上发现30个漏洞,可允许攻击者绕过Oracle Java安全沙箱。但在这一团队深入接触这些漏洞时,被谷歌安全系统发现并阻止了他们的Google App Engine账户,阻止进一步的查询。然而几周后,谷歌向这一团队开放“绿灯”,允许他们探索GAE漏洞,并且要求他们出具一份研究报告,条件是将工作限制在Java虚拟机层面而不能进入下一个沙箱层。随后该团队的工作得以继续。据悉谷歌已经正式这一团队的报告延时了谷歌对某种类型的攻击以及对特权Java类的防御不够,并且与修复了那些与该团队取得一致的漏洞,其他几个漏洞双方正在探讨中。最后,谷歌奖励这一团队5万美金,成为谷歌漏洞奖励项目有史以来的最大奖励。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。