Minulou středu vyšla aktualizace nejoblíbenějšího internetového prohlížeče Chrome s číslem 50.0.2661.102. Opravuje celkem pět bezpečnostních zranitelností. Za čtyři z nich zaplatil Google přes 20 tisíc USD, těm kteří je objevili a pomohli opravit.
Na dvě nejnebezpečnější přišel známý polský bezpečnostní expert Mariusz Mlynski, získal za ně celkem 15,5K USD. Jedna z nich je přitom hodnocena jako závažná. Přišel totiž na to jak obejit SOP (Same Origin Policy) v prohlížeči. Správně může jedna stránka komunikovat přes prohlížeč s druhou jen pokud jsou stejného původu (URL, hostname a port). Mariusz Mlynski toto přes chybu v Chrome obešel. Teoreticky by tak někdo mohl ukrást cookie anebo session. Druhá byla podobná jen obcházela SOP přes V8 JavaScript Engine, který vyvíjí The Chromium Project.
Třetí bezpečnostní chybu za 3K USD objevil Choongwoo Han. Díky ní docházelo k buffer overflow ve V8 JavaScript Engine. Údajně by se tato zranitelnost dala využít k DoS útoku proti cílovému počítači. Stupeň rizika posoudil Google jako vysoké.
Čtvrtou odměnu 1337 USD odnesl anonymní bug hunter a pátou 500 USD Jann Horn. Více informací Google sdělí až si dostatečný počet lidí aktualizuje Chrome.
Google vyplácí odměny za nalezení bezpečnostních chyb a hrozeb v rámci Chrome Reward Program Rules, kterého se může zúčastnit každý. Odměny jsou od 500 do 15000 USD. Výše odměny záleží na tom, jak dobře zranitelnost dokážete popsat a demonstrovat její efektivní využití. Některé odměny se vztahují i na rozšíření, které se stahují současně s instalačním balíčkem Chrome. Chyby můžete hledat jak ve vývojářské, beta i aktuální verzi prohlížeče.
Tento článek byl byl přečten 2011 krát