Google заплатит $1 млн за уязвимости в Chrome

[V3T]

Chrome на данный момент является единственным браузером, чью защиту не удавалось обойти хакерам в рамках конкурса Pwn2Own.

Представители компании Google пообещали выплатить 1 млн. долларов тем хакерам-участникам соревнования Pwn2Own, которые смогут обойти механизм защиты web-обозревателя Chrome.

В Google назначили премии в размере $ 60 тыс., $40 тыс. и $20 тыс. в зависимости от сложности уязвимостей, которые обнаружат хакеры, работая за компьютерами на базе ОС Windows 7. Финансовые средства будут вручаться до тех пор, пока не будет достигнут лимит в 1 млн. долларов.

Отметим, что Chrome на данный момент является единственным браузером, чью защиту не удавалось обойти хакерам в рамках конкурса Pwn2Own. Участники конкурса заявляют, что сложностью в обходе безопасности Chrome является песочница.

Представители Google, которые опекаются безопасностью Google Chrome, Крис Эванс (Chris Evans) и Джастин Шу (Justin Schuh) заявили: «Хотя мы и гордимся, что Chrome оставил след на прошлых соревнованиях, однако то, что эксплоиты для нашего продукта не были разработаны, утрудняет процесс нашего совершенствования. Для того чтобы повысить вероятность создания эксплоитов в этом году, мы повысили ставки. Мы непосредственно выделили 1 млн. долларов на награды в этом году».

Стоит отметить, что компания Google также планировала выступать в качестве спонсора на соревновании Pwn2Own. Однако после того как организаторы изменили правила соревнования, согласно которым хакеры могут не разглашать все детали обнаруженных уязвимостей, компания отказалась от спонсорства.

Думаю есть возможность заработать для знающих, наверняка там ещё багов будет, не от всего же песочница панацея

[V3T]

Предложив миллион долларов вознаграждения за найденные уязвимости в браузере Chrome, компания Google получила то, что хотела. В течение пяти минут после начала хакерского конкурса Pwn2Own французская команда Vupen Security сумела осуществить эксплойт двух уязвимостей Chrome и полностью взломать браузер. Таким образом, команда сделала серьёзную заявку на победу во всём конкурсе. Данный случай также демонстрирует, что используемая в Chrome песочница не является универсальным средством против любых атак.

По новым правилам Pwn2Own, демонстрация удачного эксплойта теперь не гарантирует победы в общем конкурсе, результат соревнования будет подсчитываться по очкам. За уязвимость 0day участник получает 32 очка. Дополнительно, 10, 9 или 8 очков начисляется за написание эксплойта к одной из двух уязвимостей, которые огласят перед началом соревнований. Количество очков зависит от того, в какой день конкурса был представлен эксплойт. Конкурс проходит в Ванкувере с 7 по 9 марта, три победителя получат денежные призы в размере $60 тыс., $30 тыс. и $15 тыс., соответственно.

Параллельно с Pwn2Own организовано отдельное состязание Pwnium, в котором компания Google сама выплачивает вознаграждение до $60 тыс. за найденные уязвимости. Буквально за час до начала Pwn2Own здесь отличился известный специалист по безопасности Сергей Глазунов, на счету которого уже не один десяток багов, найденных в Chrome и других продуктах Google. Обычно он получает за них стандартные выплаты от $1000 до $3000, но в этот раз российскому студенту причитается гораздо больше — шестьдесят тысяч долларов. Что ж, неплохая прибавка к стипендии.

Как сообщается, Сергей Глазунов сумел сделать удачный эксплойт, используя две новые уязвимости в Chrome, которые скоро будет закрыты через автообновление.