Google har siden februar 2010 tilbudt belønning til dem som finner sårbarheter i Chrome-nettlesere og forteller om dem til selskapet på en ansvarsfull måte, noe som i alle fall innebærer at selskapet gis tilstrekkelig med tid til å fjerne sårbarheten før detaljene om sårbarheten blir offentliggjort. Google praktiserer selv en periode på 60 dager.
Etter at dusørordningen startet, har Google flere ganger økt dusøren. Til sammen har selskapet delt ut mer enn 1 million dollar i slike dusører.
Denne uken melder Google at antallet eksterne tips om Chrome- og Chromium-relaterte sikkerhetproblemer har gått betydelig ned i det siste. Chromium-prosjektet tar dette som et signal på at det har blitt vanskeligere å finne nye feil, siden svært mange allerede har blitt funnet. Men stadig ny funksjonalitet i nettlesere gir trolig nye muligheter.
Som et resultat av dette, øker Google nå dusøren som deles ut i forbindelse med en del typer sårbarheter med minst 1000 dollar. I tilfeller hvor oppdagelsen eller rapporten oppfattes som særdeles imponerende, ligger dusøren nå på 10 000 dollar.
I blogginnlegget fra Google nevnes det flere eksempler på dette, spesielt ting som involverer Chrome OS, 64-bits utgaven av Chrome og i biblioteker hvor det ikke har blitt funnet alvorlige sårbarheter på over et tiår.
I blogginnlegget nevnes det også at Google deler ut belønning til for rapporter om sårbarheter i tredjeparts programvare som Google benytter. Dette inkluderer Adobe Flash, Linux-kjernen, ulike åpen kildekode-biblioteker og daemons, samt i X Window System.
Pwnium
Et annet tiltak som skal kunne bidra til at flere sårbarheter i Chrome oppdages og fjernes, er Pwnium, som arrangeres for andre gang i år under Hack In The Box-konferansen i Kuala Lumpur, Malaysia, i oktober.
Premiepotten er på 2 millioner dollar, men maksimalpremien per sårbarhet som utnyttes er på 60 000 dollar. Da må deltakerne med suksess kunne utnytte en sårbarhet i selve Chrome når den kjøres på en Windows 7-maskin.
En premie på 50 000 dollar gis til de som greier å utnytte én eller flere Chrome-sårbarheter i kombinasjon med andre sårbarheter, for eksempel i Windows-kjernen.
Det gis også premie for andre utnyttelse av sårbarheter som ikke egentlig er i Chrome, men i for eksempel Flash, Windows eller i en driver. Denne premien er på 40 000 dollar.
I tillegg skal juryen kunne gi premie til deltakere som bare delvis har suksess med sitt angrep, for eksempel at man har greid å kjøre vilkårlig kode inne i sandkassen til Chrome, men ikke å trenge gjennom den.
Les også:
- [12.03.2012] Hackere gikk i Chrome-felle
- [09.03.2012] Fjerner Pwnium-sårbarhet fra Chrome
- [02.11.2010] Utvider dusørsordning for sårbarheter
- [01.02.2010] Utlover belønning for Chrome-sårbarheter
