Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Chromium: Emelik a tétet

2012.08.16. 10:13 | buherator | Szólj hozzá!

A Google eddig is igen nagyvonalú volt a Chromium platformot, illetve magát a Chrome böngészőt érintő biztonsági problémákat felfedező kutatókkal: az elmúlt években több mint egymillió dollárnyi jutalmat osztottak ki a feltárt sérülékenységekért. Az utóbbi időben a bejelentésre került hibák száma esni kezdett, amiből a fejlesztő csapat azt a következtetést vonta le, hogy a termékeikben sikerült minőségi változást elérni a biztonság terén, az új hibák feltárása lényegesen nehezebbé vált. Erre reagálva a Chromium Vulnerability Rewards Program bővítésre kerül: Legalább 1000 dolláros plusz jutalomban részesülnek azok a kutatók, akik 

  • "különösen kihasználható" sérülékenységeket jelentenek be 
  • a kód egy alacsony hibarátával rendelkező részében találnak biztonsági problémát
  • vagy olyan sebezhetőségre bukkannak, amely a Chromiumon kívül egyéb termékeket is érint.

A közlemény ezen felül javaslatokat is tartalmaz arra vonatkozóan, hogy mely területeken lehet érdemes keresgélni a nagyobb jutalom reményében:

  • ATI/Nvidia driverek biztonsági hibái
  • Helyi jogosultságkiterjesztésre alkalmas hibák a Chrome OS lecsupaszított Linux kernelében
  • Komoly biztonsági hiányosságok az IJG libjpeg könyvtárban
  • Bármilyen, 64-bites rendszeren működő exploit
  • Az alacsony integritású renderer folyamatból a közepes szinten működő böngésző folyamatba kitörni képes módszer, feltételezve, hogy a rendererben lehetséges kódfutattás

A poszt ezek mellett emlékeztet arra is, hogy a cég a külső gyártótól származó komponensek (pl. Adobe Flash) bugjait is értékeli, valamint hogy a memóriakorrupciót eredményező sebezhetőségek mellett a böngésző vezérléséhez vezető univerzális XSS problémákat is jutalmazzák a program keretében. 

Ha pedig mindez nem lenne elég, a Chromium csapata bejelentette a Pwnium 2-t, amit a 10. Hack In The Box konferencián fognak megrendezni két hónap múlva. A megmérettetés során a Google kétmillió dollárnyi jutalmat hajlandó szétosztani a Chrome böngészőt sikeresen exploitáló kutatóknak, a tavalyinál még kecsegtetőbb díjak formájában, melyeket akár "félkész" munkákért is odaítélnek. 

Címkék: google chromium pwnium hack in the box

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.