Googles dusørordning for sårbarheter i Chrome utvides med stadig høyere beløp. (Bilde: digi.no)

Fjerner spektakulære sårbarheter

Google hyller oppdagerne med rekordhøye dusører.

Google har lenge utlovet dusør til dem som finner nye sårbarheter i selskapets nettleser, Chrome. Men på søndag tok selskapet denne ordningen til et nytt nivå, i forbindelse med en sikkerhetsoppdatering til Chrome 17.

Da ordningen ble innført i begynnelsen av 2010, var standarddusøren 500 dollar, mens 1337 dollar ble gitt i spesielle tilfeller. Senere har standarddusøren blitt økt til 1000 dollar, mens de mest skarpsindige oppdagelsene har blitt belønnet med 3133,7 dollar.

Denne gangen har Google utpekt tre oppdagelser som er av en helt annen klasse enn det som har blitt funnet tidligere. Mens sårbarheter i Chrome vanligvis merkes med alvorlighetsgradene «Critical», «High», «Medium» og «Low», har disse tre sårbarhetene blitt merket med henholdsvis «Rockstar», «Legend» og «Superhero». Internt, i feilrapporteringssystemet til Chromium-prosjektet, er alle de tre sårbarhetene gitt alvorlighetsgraden «OMGOMGOMG».

Den Rockstar-merkede sårbarheten har fått CVE-identifikatoren (Common Vulnerabilities and Exposures) CVE-1337-d00d1 og er oppdaget av en person med aliaset «miaubiz». Google har foreløpig ikke kommet med særlig detaljer om oppdagelsen eller sikkerhetshullet, men oppgir «omfattende WebKit-fuzzing» i beskrivelsen. Det forteller hvordan sikkerhetshullet har blitt oppdaget.

Den Legend-merkede sårbarheten, CVE-1337-d00d2, er også oppdaget ved hjelp av fuzz-teknikker. Den er kreditert Aki Helin i Oulu University Secure Programming Group.

Den tredje oppdagelsen, CVE-1337-d00d2, ble gjort av Arthur Gerkis, som ifølge Google har påført vektorgrafikk-teknologien SVG «betydelig smerte».

Det har også blitt fjernet 14 andre sårbarheter fra Chrome denne gangen, hvorav et flertall har blitt oppdaget av de tre nevnte personene. Samtlige har høy alvorlighetsgrad.

Google oppgir at de fleste av sårbarhetene har blitt avdekket ved hjelp av verktøyet AddressSanitizer, som finner feil av typen «use-after-free» og «out-of-bound» i C- og C++-programmer.

Som om ikke dette var nok, så inkluderer Chrome-oppdateringen også en oppdatert utgave av Flash Player, 11.1.102.63, som ikke er offisielt sluppet av Adobe ennå (selv om den kan lastes ned også til andre nettlesere). Det er derfor uklart hva som er nytt i denne oppdateringen.

Google har også fikset flere feil knyttet til visningen av webinnhold.

Selv om Google hver måned fjerner mengder av sårbarheter fra Chrome, så virker det som at de som oppdager dem primært er «white hats» eller etiske hackere som holder sårbarheten hemmelig inntil Google har fjernet den. Det er uklart om Googles dusørordning er en medvirkende årsak til dette.

Google virker temmelig sikre på at sikkerheten i Chrome vil holde også under hackerkonkurransen Pwn2Own, som arrangeres i Vancouver, Canada, denne uken. Selskapet vil utbetale dusør på opptil 60 000 dollar til hver av dem som fullstendig greier å trenge gjennom sikkerhetstiltakene i nettleseren.

    Les også:

    Les også:

Til toppen