Google zaplatil rekordní sumu za chyby v Chrome

26. 10. 2011

Sdílet

Rekordních 26 tisíc dolarů vyplatil Google několika výzkumných pracovníkům, kteří jej upozornili na celkem 18 zranitelností prohlížeče Chrome.

Některé z těchto chyb již Google opravil prostřednictvím stabilní verze Chromu 15. Žádnou z osmnácti zranitelností sice neoznačil za kritickou, druhou nejvyšší hrozbu však podle něj představuje hned jedenáct chyb. Riziko zneužití zbývajících čtyř zranitelností je minimální.

O odměnu v přesné výši 26,551 dolarů se oficiálně podělila čtveřice výzkumníků, její velkou část však získali pouze dva z nich. 13,674 dolarů si na své konto připsal Sergey Glazunov a 10,337 dolarů obdržel výzkumník vystupující pod přezdívkou miaubiz. Oba patří mezi stále spolupracovníky Googlu a dohromady již získali asi 57 % všech odměn vyplacených v letošním roce. Celkově už letos Google vyplatil 170 tisíc dolarů.

Své pětimístné šeky Glazunov a miaubiz získali za upozornění na větší množství chyb, které Google sloučil do jediného CVE (Common Vulnerabilities & Exposures) identifikátoru. Většina chyb, na které upozornil miaubiz, byla přitom podle Googlu objevena díky nástroji AddressSanitizer, který společnost uvolnila letos v červnu.

Vedle oprav zranitelností obsahuje stabilní verze Chromu 15 také ochranu proti exploitu BEAST (Browser Exploit Against SSL/TLS), který dokáže dešifrovat cookies. Díky tomu by potencionální útočníci dostali možnost přistupovat k zabezpečeným webovým stránkám jako oprávnění uživatelé. Svou anti-BEAST ochranu Google zahrnul i do předchozích dvou vývojových verzí Chromu 15. Po prohlížeči Opera je tak Chrome teprve druhým browserem, který je vůči tomuto druhu útoků imunní. Ostatní prohlížeče jsou stále v ohrožení.