Google erhöht Belohnung für Sicherheitslücken in Chrome

Forscher, die Sicherheitslücken in Chrome finden und Google melden, erhalten künftig höhere Belohnungen. Das hat Chrome-Programmierer Chris Evans in einem Blogeintrag angekündigt. Der Suchkonzern reagiert damit auf einen Rückgang der von externen Sicherheitsexperten eingereichten Lücken.

„In letzter Zeit haben wir einen deutlichen Abfall der extern gemeldeten Sicherheitsprobleme in Chromium festgestellt“, schreibt Evans. „Das zeigt uns, dass es schwieriger wird, Fehler zu finden, da die Anstrengungen der Community Chromium deutlich sicherer gemacht haben.“

Unter bestimmten Umständen zahlt Google nun zusätzlich zu den derzeit üblichen Prämien einen Bonus von 1000 Dollar. Den Zuschlag erhält, wer eine Schwachstelle mit Beispielcode für einen Exploit abliefert. Den Bonus gibt es auch, wenn eine Open-Source-Bibliothek betroffen ist, die auch von anderen Anwendungen als Chrome verwendet wird, oder wenn eine Sicherheitslücke in der stabilen Version von Chrome steckt, die ja eigentlich fehlerfrei sein sollte.

Bisher hat Google Prämien von insgesamt mehr als einer Million Dollar ausgeschüttet. 120.000 Dollar zahlte das Unternehmen im Frühjahr den Sicherheitsforschern Sergej Glazunow und „Pinkie Pie“ für Lücken, die sie während des Hackerwettbewerbs Pwnium präsentiert hatten. Einem anderen Eintrag im Chromium Blog zufolge gibt es nun eine Neuauflage des Wettbewerbs. Pwnium 2 findet demnach während der Konferenz Hack In The Box am 10. Oktober in Kuala Lumpur statt, der Hauptstadt von Malaysia.

Das Preisgeld hat Google auf bis zu zwei Millionen Dollar erhöht. Forscher, die einen „vollständigen Chrome-Exploit“ vorführen, mit dem sich die Kontrolle über einen Rechner mit Windows 7 übernehmen lässt, erhalten 60.000 Dollar. 50.000 Dollar gibt es, wenn dafür neben Fehlern in Chrome auch Bugs im Windows Kernel verwendet werden. Wird eine Anfälligkeit in anderen Anwendungen wie beispielsweise Flash demonstriert, ohne dass der Google-Browser beteiligt ist, zahlt Google immerhin noch eine Belohnung von 40.000 Dollar.

Im Gegensatz zur Veranstaltung im Frühjahr wird Google bei Pwnium 2 auch unvollständige beziehungsweise nicht voll funktionsfähige Exploits belohnen. Als Beispiel nennt Google Schadcode, der nur in der Chrome-Sandbox ausgeführt werden kann. „Wir können definitiv auch von dieser Arbeit lernen“, sagt Evans. Die Höhe der Belohnung soll in diesen Fällen eine Jury festlegen.

[mit Material von Stephen Shankland, News.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago