12-åring belønnet for sårbarhetsfunn

Oppdaget kritisk sikkerhetshull i Firefox.

Harald BrombachHarald BrombachNyhetsleder
25. okt. 2010 - 09:31

Dersom eksterne personer oppdater en sårbarhet i et programvareprodukt, blir gjerne personen kreditert for oppdagelsen i forbindelse med sikkerhetsoppdateringen som fjerner sårbarheten. I de fleste tilfeller dreier det seg om personer som har IT-sikkerhet som levebrød.

Men sårbarheter blir i blant også oppdaget av tilsynelatende vanlige brukere.

I forrige uke fikk 12 år gamle Alex Miller 3000 dollar i belønning av Mozilla for oppdagelsen av en kritisk sårbarhet i nettleseren Firefox. Ifølge San Jose Mercury News ble Alex inspirert av muligheten til å tjene en god slump med penger og har lett etter sårbarheter i Firefox i omtrent halvannen time daglig i ti dager før han gjorde oppdagelsen.

Sårbarheten Alex oppdaget, er en overflytsfeil som kan korrumpere minnet til brukerens maskin. Den berører både Firefox og Thunderbird. Sårbarheten ble fjernet ved hjelp av sikkerhetsoppdateringer som Mozilla kom med i forrige uke.

Sikkerhetshullet kunne utnyttes ved å sende en svært lang streng til document.write. Dette kunne føre til at presentasjonsrutinene for tekst endte opp i en inkonsekvent tilstand hvor seksjoner av stakkminne blir overskrevet med strengdataene. Dette kunne utnyttes av en angriper til å krasje offerets nettleser og potensielt kjøre vilkårlig kode på offerets datamaskin.

Mozilla økte den faste belønningen for oppdagelse av alvorlige sårbarheter fra 500 til 3000 dollar for to måneder siden. Også Google tilbyr en lignende beløningsordning for sårbarheter som blir oppdaget i Chrome og meldt ifra til selskapet på en ansvarsfull måte.

Ifølge moren til Alex, Elissa Miller, er sønnen mer eller mindre selvlært. Han har stor interesse for teknologi, men spiller også gitar og badminton. Han er også opptatt av politiske debatter.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.