谷歌公司为了提高上周二Google Native Client技术的安全性设计了一场漏洞搜索比赛,两位安全专家赢得比赛并分享了现金奖励的殊荣。
尽管他们在代码中发现了十几个漏洞,这些代码是帮助网络应用软件运行本地代码并利用计算机的处理能力,不过其中一位获胜者预测说当这项技术配置之时将是安全的。
IBM公司互联网安全系统的X-Force研究工程师Mark Dowd表示"比赛执行的质量是很高的。每个人都会犯点小错误,竞赛的目的就是要消除这些隐患"。
谷歌公司负责Native Client的工程经理Brad Chen介绍说,Dowd和他的合作伙伴–新西兰的独立安全研究专家Ben Hawkes一同,在竞赛举办方公布的总计22个漏洞中发现了数量最多的安全漏洞和最严重的漏洞,这些漏洞的发现被证实是有效的。
Chen表示,举例来说,更多的服务器漏洞将使得攻击者能完全摧毁技术的内部沙盒。
Dowd称"如果这些漏洞出现在实际的网站上,你就可以将这些漏洞转化为攻击点并完全控制整个系统。目前这个版本还不是正式推出版,因此没有大规模的用户群基础"。
"我知道他们在把这项技术应用到关键领域之前会推出更多的特性,但是核心技术本身是非常有趣的,如果他们遵循我认为的安全原则,它就可以安全的配置在互联网上"。
这项去年12月作为研究计划公布的技术去年进入研发平台,它的目的是帮助计算机直接运行从互联网上下载的网络应用软件,速度和在计算机上安装本地软件一样。
目前像Flash, JavaScript和ActiveX这样的网络应用软件编程环境所提供的处理能力都是有限的,而且也备受本身缺陷的困扰。
对于Native Client,谷歌也面临在更多的性能与来自相对新鲜的技术所带来的安全难题之间的平衡性的挑战。这种称之为静态分析的方法在运行之前涉及播放软件,以此来确认它没有执行任何禁止的风险行动。
谷歌希望在年底前将Native Client与Chrome浏览器的研发人员版本结合在一起,把它开放给更广发的研发社区。
大概有600人参与了二月份开始的漏洞搜索比赛,是由九名专家组成的评审团进行评判的。