Google Chrome opravuje 27 chyb a vyplácí se rekordní odměna

28. 4. 2011

Sdílet

Google uvolnil opravy 27 bezpečnostních chyb prohlížeče Chrome. Pro Windows, Mac OS a Linux byla současně vydána verze stabilní verze s číslem 11. Sandbox v Chrome je ale zřejmě účinný, kritické zranitelnosti nejsou.

Za objevy těchto zranitelností vyplatil Google zatím vůbec největší „dávkovou" hodnotu odměn: 16 500 dolarů. 18 z 27 opravených chyb byla označena za vysoce rizikové, což je ovšem v hodnocení Googlu až druhý nejvážnější stupeň: kritická není žádná. Nakonec to zřejmě ukazuje, jak účinný je sandbox.

Jako obvykle nebyly technické podrobnosti o zranitelnostech zveřejněny, nicméně 5 z opravených chyb se má týkat přidělování paměti v rámci aplikace (tyto chyby Chrome letos už musel látat poměrně často). Další by mohly umožnit podvrhnout adresní řádek prohlížeče, což je samozřejmě sen všech phishingových podvodníků. Pak zde byly také možnosti kompromitovat prohlížeč přes záměrně podvržené soubory ve formátu SVG. Jenže díky sandboxu na drive-by download útok nic z toho nestačí, alespoň dle Googlu.

Finanční prémii ve výši 4 000 dolarů získal za report chyb Sergej Glazunov (již poněkolikáté) a stejnou částku obdržel výzkumník identifikovaný pouze pod nickem kuzzcc.

Google už letos za objevy chyb vyplatil 77 000 dolarů. Z dodavatelů webových prohlížečů takto kromě Googlu postupuje už jen Mozilla, nicméně za nalezené bezpečnostní zranitelnosti platí i další subjekty (a zřejmě podstatně lépe - TippingPoint, a to zcela pomíjíme ceny na černém trhu).

 

Poznámky:

- Google přistupuje k číslování verzí svého prohlížeče jinak než ostatní dodavatelé, další „hlavní" verze se v průměru objevuje jednou ze 6 týdnů. I když Mozilla nyní hovoří o Firefoxu 5 a tím by se tempo uvádění nových verzí (spíše ovšem číslování) také zrychlilo.

ICTS24

- Americký Computerworld ještě dodává, že mezi posledními inovacemi svého prohlížeče Google speciálně zmiňuje podporu vstupu mluvené řeči přes HTML, kterážto funkce by měla rozšířit použitelnost služeb typu Google Translate, ovšem zatím spolupráce mezi oběma rozhraními nefunguje bezproblémově...