Google schließt erste Pwnium-Lücke in Chrome
Google hat soeben ein Sicherheitsupdate für Chrome veröffentlicht. Die Version 17.0.963.78 schließt eine Sicherheitslücke, die im Rahmen des Pwnium-Wettbewerbs entdeckt wurde. Der Entdecker bekommt für diesen Full-Exploit 60.000 Dollar von Google.
Wieder einmal hat Sergey Glazunov eine Lücke in Chrome gefunden und bekommt abermals Geld dafür. Er hat einen Zero-Day-Exploit gefunden, der die Sandbox von Chrome ausgehebelt hat. Google kündigte daraufhin ein Update an.
Die neue Version schließt neben der Lücke auch noch einige Probleme, die es im Zusammenhang mit Flash-Spielen und Videos gab. Auch die Sicherheitsfirma Vupen hat eine Lücke in Chrome gefunden. Diese nimmt aber nicht am Pwnium teil und muss diese auch nicht offen legen.
Vorab gab die Firma bekannt, dass man in allen aktuellen Browsern Zero-Day-Exploits gefunden hätte.
Pwnium findet im Rahmen der Sicherheitskonferenz CanSecWest statt, die noch bis zum 9. März geht. Google stellt insgesamt eine Million Dollar zur Verfügung. 60.000 gibt es für Lücken, die direkt in Chrome zu finden sind. 40.000 sind Sicherheitslöcher wert, die nur in Kombination mit anderen Lücken genutzt werden können.
20.000 Dollar zahlt Google für Lücken in Flash, Windows und anderen Programmen. Hierbei ist zu erwähnen, dass das Geld nur gibt, wenn der Entdecker den Exploit danach offen legt. Vermutlich wird es in den nächsten Tagen noch das ein oder andere Sicherheitsupdate insbesondere auch für die Beta- und Dev-Versionen von Chrome geben.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
Sergey wird wohl bald nicht mehr Arbeiten müssen, wenn er so weiter macht 😀
aufjeden wen er so weiter macht
glaubt mir Sicherheitslücken zu suchen ist auch arbeit 🙂 und zwar gar nicht mal so einfach ^^. Aber Klasse Sache: Win-Win Situation.
Gibt mittlerweile schon ne zweite Lücke^^
Ist ja mit dem aktuellen Update auch bereits gefixt.
Also, einmal angenommen ich hätte eine Sicherheitslücke entdeckt, mithilfe derer ich eine beliege Programmdatei ausführen kann, ich aber den Benutzer dazu bringen müsste, (einmalig) eine Extension (ohne irgendwelche exquisiten Permissions und ohne NPAPI) zu installieren. Würde ich dann Preisgeld bekommen? Oder: Bekommt man nur Preisgeld, wenn ich aus der Sandbox einer ganz normalen Website ausbrechen kann?