# chrome 33中修复了4个Pwn2Own大会上发现的漏洞

![enter image description here](http://drops.javaweb.org/uploads/images/419557e6fa285d518d976aeda1c442374eb14d0f.jpg)

Pwn2Own大会已经尘埃落定，各大浏览器厂商针对大会上发现的漏洞都陆续推出了自家的补丁。谷歌也在周一针对大会发现的漏洞推出了一系列补丁，并针对windows，mac和linux分别发布了新版本的chrome。

今年的Pwn2Own大会在温哥华与CanSecWest会议同时进行，大会向外界展示了大多数主流浏览器的很多漏洞及相关exp，其中包括IE，firefox和chrome。来自法国一个安全漏洞exp买卖公司VUPEN的队伍最终拿到了谷歌提供的几十万美元的奖金。除了比赛奖金，谷歌还为那些在chrome中发现漏洞的研究者提供了奖励。

VUPEN因为两个chrome的漏洞赢得了谷歌提供的10万美元的奖金，另外还有一个匿名研究者因为两个不同的漏洞获得了6万美元。谷歌在33版本chrome中修复的漏洞有，（均来自Pwn2Own）：

```
[$100,000] [352369] 沙箱外的代码执行，由VUPEN发现。
[352374] High CVE-2014-1713: Use-after-free in Blink bindings
[352395] High CVE-2014-1714: Windows 剪贴板漏洞
[$60,000] [352420] 沙箱外的代码执行. 由匿名人员发现。
[351787] High CVE-2014-1705: 在v8引擎中的内存泄漏
[352429] High CVE-2014-1715: 目录遍历漏洞

```

IE和firefox的补丁可能会在稍后的时间里推出，因为他们的更新周期比chrome要长。谷歌通常是在出现重大漏洞之后会立刻推出新版本的chrome。谷歌的安全人员透露，他们计划在接下来的几周里会部分公布Pwn2Own大会上发现的漏洞详情。

谷歌的Anthony Laforge 在他的博客里说到：“我们为能在Pwn2Own大会上发现漏洞和学习新的攻击方式而感到高兴。我们预计会在不久的将来同步加入其他的一些修改，并强化漏洞修补措施。我们同样相信这些漏洞的发现是一种艺术并理应得到分享和尊重。我们计划在未来会针对Pwn2Own上发现的漏洞发布一个技术报告”