Arhiva za ‘Sergej Glazunov’ tag
Google ponudio više novca onima koji pronađu sigurnosni propust u Chrome-u
Program kompanije Google koji podrazumjeva novčano nagrađivanje svih onih koji pronađu neki sigurnosni propust u njenom pregledniku Chrome radi dovoljno dobro da je kompanija zaključila da je vrijeme da se dodaju nove novčane nagrade.
Google vjeruje da su manji sigurnosni propusti već pronađeni tako da je kompanija odlučila dodati novi financijski poticaja za sve one koji vole da pronalaze ovakve propuste.
Nedavno smo napravili analizu ovog programa i vidjeli da je došlo do značajnog pada u prijavljivanju sigurnosnih propusta u Chrome što je za nas jasan znak da je postalo sve teže pronaći sigurnosne propuste u našem pregledniku. Ovo je posljedica napora naše šire zajednice koja ga je učinila znatno jačim,
propćio je Chrome programer Chris Evans.
Dakle, kompanija Google odlučila je dodati novih 1.000 dolara bonusa na redovni poticaj koji vrijedi samo ako se ispune tri uslova. Bonus vrijedi ako je propust:
-
“iznimno iskoristiv” i ako dolazi sa demonstracijom
-
u open-source softver knjižnici koju koristi Chrome
-
u stabilnom području Chrome-a za koje Google smatra da su svi propusti već zakrpljeni
Google navodi da je do sada platio više od milijun dolara za pronalaženje sigurnosnih propusta u Chrome. Između ostalog, za otkrivanje propusta po 60.000 dolara dobili su Sergey Glazunov i PinkiePie.
Kompanija je jučer također objavila Chrome 21.0.1180.79 za Mac, Linux, Windows i Chrome Frame kako bi zakrpila propuste u Adobe Flash Player-u koji je ugrađen u Chrome-u.
Sergej Glazunov uspeo da hakira Chrome prvog dana Google Pwn2Own takmičenja
Tokom Google Pwinium takmičenja koje se održava na CanSecWest konferenciji o bezbednosti u sredu u Vankuveru, ruski lovac na softverske propuste Sergej Glazunov demonstrirao je kako je iskoristio propust Chrome preglednika i u potpunosti porazio toliko hvaljeni Chrome Sandbox.
Google Chrome je smatran jednim od najbezbedijih Web preglednika baš zbog svoje bezbednosne sandbox arhitekture, koja uvodi ograničenja u interakciji sa operativnim sistemom i značajno ograničava šta napadač može da uradi ako se iskoristi neku od ranjivosti preglednika.
Ovogodišnji Pwnium ima nagradni fond od milion dolara. Nagrađuju se svi oni koj iskoriste neku vrstu propusta u Chrome-u. Najveća nagrada je 60.000 dolara i dodeljuje se onima koji demonstriraju ranjivost samog Google Chrome koda.
Prvi koji će zaraditi glavnu nagradu je Sergej Glazunov koji je tokom prvog dana takmičenja demonstrirao ranjivost i u potpunosti aobišao Chrome Sandbox.
Google Chrome tim je potvrdio ovu ranjivost čestitajući Sergej Glazunovu kao prvom koji je osvojio glavnu nagradu.
Sergej Glazunov nije jedini koji je probio Chrome na Pwn2Own takmičenju, tim istraživača iz Francuske sigurnosne kompanije VUPEN takođe je uspeo u tome. Ranjivost je iskorištava dve greške, jednu da zaobiđe DEP (Data Execution Prevention) i ASLR (address space layout randomization) na Windows OS, koje su dizajnirane za sprečavanje izvršenja zlonamjernog koda čak i onda kada se ranjivost pronađe i drugu za zaobilaženje Chrome Sandbox. Kompanija nije otkrila druge pojedinosti osim da je ranjivost pronađena u "default-noj" instalaciji Google preglednika pa stoga Chrome tim za sada sumnja da je VUPEN iskoristio ranjivost u Flash Player plug-in koji dolazi sa pretraživačem.
Ako se to pokaže kao tačno kompanija će za to dobiti samo utešnu nagradu od 20.000 dolara.
Takmičenje traje do petka tako da ostaje da se vidi da li će se pojaviti još neko ko će da konkureiše za osvajanje glavne nagrade.