Google zahlt 2000 US-Dollar für Lücke in Chrome
Ein Sicherheits-Update für Google Chrome schließt elf Sicherheitslücken, neun davon sind kritisch. Eine der Lücken wurde mit 2000 US-Dollar prämiert, bislang die höchste Summe - und zudem eigentlich nicht geplant.
- Daniel Bachfeld
Mit 2000 US-Dollar hat Google bislang die höchste Summe für eine im Web-Browser Chrome gefundene Lücke bezahlt. Empfänger ist der Entwickler Sergey Glazunov für eine von ihm entdeckte Möglichkeit, die Same Origin Policy in Zusammenhang mit DOM-Methoden auszuhebeln. Details dazu sind noch nicht öffentlich verfügbar, vermutlich kann eine Webseite aber damit auf Inhalte anderer Seiten zugreifen. Google stuft die Gefährlichkeit der Lücke als hoch ein. Das Update 5.0.375.70 für Windows, Mac und Linux beseitigt das Problem.
Daneben schließt das Update noch 10 weitere Lücken, wovon der Hersteller acht als kritisch einstuft. Zwei der Lücken hat Apple entdeckt – Googles Chrome und Apples Safari bauen beide auf WebKit auf. Für Safari gab es gestern ein Update, das 48 Lücken schloss. Eine der nun geschlossenen Lücken in Chrome betrifft nur die Linux-Version und ermöglicht den Ausbruch aus der Sandbox.
Google prämiert im Rahmen seines Anfang des Jahres ausgerufenen Programms "Chromium Security Reward" Sicherheitslücken mit 500 US-Dollar. In Sonderfällen entscheidet ein Gremium, ob die Summe auf 1337 US-Dollar erhöht wird. Das soll allerdings nur der Fall sein, wenn die Lücke besonders kritisch ist oder der Bericht über eine Lücke und wie man sie ausnutzt, besonders ausgefeilt ist. Google erhofft sich damit, die Sicherheit seines Browsers und damit auch die der Anwender weiter zu verbessern. Warum Google die Summe diesmal auf 2000 US-Dollar erhöht hat, ist noch unklar.
Siehe dazu auch:
(dab)
