Google lockt Schwachstellenjäger mit höheren Belohnungen
Wer eine Lücke in Chrome oder einer dazugehörigen Komponente entdeckt, kann sich in vielen Fällen über 1000 US-Dollar extra freuen. Darüber hinaus nennt Google einige Beispiele für außergewöhnliche Lücken, die mit der zehnfachen Summe prämieren würden.
- Ronald Eikenberg
Google versucht Sicherheitsexperten mit höheren Prämien im Rahmen seines Belohnungsprogramms dazu zu animieren, Schwachstellen im Browser-Projekt Chromium zu melden. Damit reagiert das Unternehmen auf einen signifikanten Rückgang gemeldeter Schwachstellen, den es als Bestätigung für den Erfolg des Programms sieht: "Schwachstellen sind schwieriger zu finden, weil die Anstrengungen der größeren Community Chromium signifikant stärker gemacht haben", schreibt der Google-Entwickler Chris Evans im Chromium-Blog.
Zusätzlich zu den bisherigen Prämien von 500 US-Dollar bis zu 3.133,7 US-Dollar winken nun Boni in Höhe von 1000 US-Dollar, etwa wenn sich die Lücke in einem Teil des Quellcodes befindet, der als stabil und weitestgehend bug-frei gilt. Ebenfalls 1.000 US-Dollar legt Google drauf, wenn die gemeldete Lücke auch andere eine signifikante Anzahl weiterer Programme betrifft – etwa, weil sie sich in einer Bibliothek befindet, die von mehreren Anwendungen genutzt wird. Kann der Schwachstellenfinder die Ausnutzbarkeit der Lücke zumindest teilweise demonstrieren, kassiert er weitere 1.000 US-Dollar.
Google weist darauf hin, dass außergewöhnliche Lücken nach wie vor mit bis zu 10.000 US-Dollar belohnt werden. Zur Inspiration liefert das Unternehmen ein paar Beispiele: etwa ein Exploit, der das Ausführen von Code bei einer 64-bit-Version von Chrome erlaubt; der Ausbruch aus der Sandbox ist dabei optional. Auch eine Lücke im Grafikkartentreiber, die beim Öffnen einer speziell präparierten Webseite mit Chrome ausgenutzt werden kann, würde Googles Sicherheitsteam beeindrucken. Auch wer eine ernstzunehmende Lücke in der Bibliothek libjpeg findet, kann sich laut Google über die 10.000 US-Dollar freuen. "Weil darin seit einem gutem Jahrzehnt keine ernstzunehmende Schwachstelle mehr gefunden wurden", heißt es in dem Blog-Beitrag.
Darüber hinaus erinnert der Suchmaschinenriese noch mal daran, dass das Belohnungsprogramm auch Schwachstellen in Adobe Flash, dem Linux-Kernel und diversen Open-Source-Bibliotheken und -Daemons abdeckt. Wer sich aktiv an der Chromium-Community beteiligt und Patches für seine Lücken bereitstellt, kann weitere bis zu 1000 US-Dollar einstreichen. (rei)
