Forscher, die Sicherheitslücken in Chrome finden und Google melden, erhalten künftig höhere Belohnungen. Das hat Chrome-Programmierer Chris Evans in einem Blogeintrag angekündigt. Der Suchkonzern reagiert damit auf einen Rückgang der von externen Sicherheitsexperten eingereichten Lücken.
„In letzter Zeit haben wir einen deutlichen Abfall der extern gemeldeten Sicherheitsprobleme in Chromium festgestellt“, schreibt Evans. „Das zeigt uns, dass es schwieriger wird, Fehler zu finden, da die Anstrengungen der Community Chromium deutlich sicherer gemacht haben.“
Unter bestimmten Umständen zahlt Google nun zusätzlich zu den derzeit üblichen Prämien einen Bonus von 1000 Dollar. Den Zuschlag erhält, wer eine Schwachstelle mit Beispielcode für einen Exploit abliefert. Den Bonus gibt es auch, wenn eine Open-Source-Bibliothek betroffen ist, die auch von anderen Anwendungen als Chrome verwendet wird, oder wenn eine Sicherheitslücke in der stabilen Version von Chrome steckt, die ja eigentlich fehlerfrei sein sollte.
Bisher hat Google Prämien von insgesamt mehr als einer Million Dollar ausgeschüttet. 120.000 Dollar zahlte das Unternehmen im Frühjahr den Sicherheitsforschern Sergej Glazunow und „Pinkie Pie“ für Lücken, die sie während des Hackerwettbewerbs Pwnium präsentiert hatten. Einem anderen Eintrag im Chromium Blog zufolge gibt es nun eine Neuauflage des Wettbewerbs. Pwnium 2 findet demnach während der Konferenz Hack In The Box am 10. Oktober in Kuala Lumpur statt, der Hauptstadt von Malaysia.
Das Preisgeld hat Google auf bis zu zwei Millionen Dollar erhöht. Forscher, die einen „vollständigen Chrome-Exploit“ vorführen, mit dem sich die Kontrolle über einen Rechner mit Windows 7 übernehmen lässt, erhalten 60.000 Dollar. 50.000 Dollar gibt es, wenn dafür neben Fehlern in Chrome auch Bugs im Windows Kernel verwendet werden. Wird eine Anfälligkeit in anderen Anwendungen wie beispielsweise Flash demonstriert, ohne dass der Google-Browser beteiligt ist, zahlt Google immerhin noch eine Belohnung von 40.000 Dollar.
Im Gegensatz zur Veranstaltung im Frühjahr wird Google bei Pwnium 2 auch unvollständige beziehungsweise nicht voll funktionsfähige Exploits belohnen. Als Beispiel nennt Google Schadcode, der nur in der Chrome-Sandbox ausgeführt werden kann. „Wir können definitiv auch von dieser Arbeit lernen“, sagt Evans. Die Höhe der Belohnung soll in diesen Fällen eine Jury festlegen.
[mit Material von Stephen Shankland, News.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…