Google tetap memiliki serangkaian kerentanan serius dalam Chrome OS nya , termasuk tiga bug berisiko tinggi yang dapat digunakan untuk eksekusi kode pada mesin rentan. Karunia Bug adalah hadiah uang tunai yang ditawarkan oleh komunitas open source untuk siapa saja yang menemukan bug perangkat lunak, terutama telah terus meningkat selama beberapa tahun sekarang.
Sebagai bagian dari program hadiah, Google membayar $ 31.336 untuk seorang peneliti yang menemukan tiga dari kerentanan. Posting Google mencatat: "Kami senang untuk menghargai Ralf-Philipp Weinmann $ 31.336 di bawah Kromium Kerentanan Program Hadiah untuk rantai tiga bug, termasuk demo kode eksploitasi dan sangat rinci menulis-up Kami berterima kasih kepada Ralf untuk karyanya untuk membantu. menjaga pengguna kami aman. "Tiga-bug rantai dikreditkan ke Weinmann eksploitasi O3D, JavaScript API (application programming interface) yang dirancang untuk menyusun 3-D grafis berbasis aplikasi Web interaktif. API dan mendukung browser plug-in yang dibuat oleh Google, dengan versi awal yang terakhir dirilis pada tahun 2009.
Kerentanan bahwa Google Chrome tetap pada OS 26:
- [227197] Medium CVE-2013-2832: diinisiasi memori yang tersisa dalam buffer di O3D plug-in. Kredit kepada Ralf-Philipp Weinmann.
- [227181] Tinggi CVE-2013-2833: Gunakan setelah bebas di O3D plug-in. Kredit kepada Ralf-Philipp Weinmann.
- [227158] Tinggi CVE-2013-2834: Asal kunci bypass O3D dan Google Talk plug-in. Kredit kepada Ralf-Philipp Weinmann.
- [196456] Tinggi CVE-2013-2835: Asal kunci bypass O3D dan Google Talk plug-in. Kredit ke Google Chrome Tim Keamanan (Chris Evans).
Google telah membayar lebih di berbagai kontes itu menjalankan atau disponsori, termasuk $ 100.000 untuk sebuah tim dua orang dari MWR Infosecurity di Pwn2Own bulan lalu.
Sebagian besar penghargaan berada di $ 1.000 - $ 3.000 kisaran, dengan beberapa akan di atas itu, tergantung pada tingkat keparahan kerentanan dan kesulitan eksploitasi.
"The Chromium Kerentanan Program Hadiah diciptakan untuk membantu menghargai kontribusi peneliti keamanan yang menginvestasikan waktu dan usaha mereka dalam membantu kita membuat Chromium lebih aman Kami sudah sangat senang dengan respon:. Berbagai program reward kerentanan Google telah membuat pengguna kami dilindungi dan terjaring lebih dari $ 1 juta dolar total hadiah bagi para peneliti keamanan. Terakhir, kami telah melihat signifikan drop-off dalam masalah keamanan Chromium eksternal dilaporkan. "
Perusahaan besar lainnya juga membayar karunia bug, tapi tidak seperti Google, tidak merilis nama-nama peneliti atau pembayaran yang mereka terima.
0komentar:
Post a Comment