Nieuws Security

6 maart 2012 leestijd 2 minuten 0 reacties

Google beloont tipgevers lekken vorstelijk

De beveiligingsupdates hebben betrekking op versie 17 van Chrome, die een maand geleden op de markt kwam. De 14 nu gedichte lekken hebben stuk voor stuk het predikaat 'hoog' meegekregen. Alleen 'kritieke' kwetsbaarheden zijn nog ernstiger. Gebruikers van Chrome ontvangen de updates automatisch op de achtergrond terwijl ze met de browser werken. De bijgewerkte versie van Chrome bevat ook een update voor de Flash Player van Adobe.

Redactie AG ConnectMeer van deze auteur

In totaal 47.500 aan beloningen en bonussen

In totaal betaalt Google dit keer als dank 47.500 dollar aan de onderzoekers die de veiligheidsproblemen bij het bedrijf hebben gemeld. Drie onderzoekers krijgen bovenop de reguliere beloning elk een bonus van 10.000 dollar vanwege hun "aanhoudende, buitengewone" bijdragen aan het meldpunt van Google voor programmeerfouten.

In een blog meldt Jason Kersey van het Chrome-ontwikkelteam dat de bonussen zijn verdiend door Arthur Gerkis, Aki Helin en een aanbrenger met de schuilnaam miaubi. Alle drie sleepten al eerder beloningen van Google in de wacht.

Daarnaast is in totaal 17.500 dollar - variërend van 500 tot 2000 dollar - uitgetrokken als beloning voor het melden van de 14 afzonderlijke beveiligingslekken. Gerkis meldde ditmaal 4 lekken, Helin 1 en miaubiz 8.

Meeste fouten schuilen in geheugenbeheer

Het overgrote deel van de 14 kwetsbaarheden is te wijten aan fouten in het geheugenbeheer die met de term 'use after free' worden aangeduid. Google heeft een speciale tool ontwikkeld (Address Sanitizer) om dergelijke fouten op te sporen. Ook externe aangevers van nieuwe bugs kunnen deze tool gebruiken.

Meer bijzonderheden over de nu gedichte lekken staan op de securitypagina voor Chromium. Google geeft niet in alle gevallen details "totdat de meerderheid van onze gebruikers beschikt over de updates", aldus Kersey in zijn blog.

Hackerwedstrijd op conferentie CanSecWest

Vandaag begint in Vancouver (Canada) de jaarlijkse conferentie CanSecWest, waar hackers de strijd aangaan om zo snel mogelijk kwetsbaarheden in software op te sporen. Google heeft een prijzengeld van maximaal 1 miljoen dollar beschikbaar gesteld voor het ontdekken van nog onbekende fouten in Chrome.

Voor het met succes kraken van Chrome op Windows 7 is bijvoorbeeld een prijs van 60.000 dollar uitgeloofd, mits de zwakke plekken uitsluitend in Chrome zitten. Wie een combinatie van fouten in en buiten Chrome benut om de browser op de knieën te krijgen, ontvangt 40.000 dollar. Een troostprijs van 20.000 dollar is weggelegd voor degene die Chrome succesvol aanvalt via lekken die geheel buiten de browser zelf liggen.

De strategie van succesvolle organisaties: single source of truth voor alle medewerkers

Welke strategie hanteren succesvolle organisaties en hoe draagt het hanteren van 1 ‘single source of truth’ bij aan efficiëntie en groei?

3 min

Nieuws phishing, ai Partner

AI-aangedreven muterende phishingcampagnes zijn in opmars, waarschuwt KnowBe4-rapport

2 min

Rubriek Soevereine Cloud Partner

Tech in 2 minuten: Wat is de Soevereine Cloud?

Ontdek hoe deze oplossing volledige controle over data biedt binnen Nederlandse grenzen en voldoet aan strenge privacywetgeving.

2 min

Meer whitepapers

Whitepaper Artificial Intelligence

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing

High impact business stories creëren

De route naar de zakelijke beslisser.

Whitepaper Arbeidsmarkt

Salary Survey: zo gaat het met de positie van IT’ers op de arbeidsmarkt

Hoeveel verdient een IT’er? En wat is het belangrijkste voor hun werkgeluk? Je leest het in de whitepaper van de 24e Salary Survey.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee