Sicherheitsupdate für Chrome und Belohnung für Forscher

Mit jeweils 10.000 US-Dollar belohnte Google drei sehr aktive Fehlersucher. Für das Entdecken 17 weiterer Bugs, die jetzt in Chrome 17 behoben wurden, zahlte es zudem 17.500 Dollar aus.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christian Kirsch

Details verrät Google kaum, doch die jetzt in der Produktivversion seines Browsers Chrome behobenen 17 Sicherheitslücken sind allesamt mit "High" gekennzeichnet. Ihre Entdecker bekamen jeweils zwischen 500 und 3000 US-Dollar gezahlt.

Den Höchstbetrag gab es für drei offenbar zusammenhängende Bugs (CVE-2011-3037), bei denen fehlerhafte Casts benutzt wurden. Diese Fehler sowie sieben weitere, darunter das Verwenden bereits freigegebenen Speichers, hatte ein unter dem Pseudonym Michel Aubizzierre Auftrender entdeckt.

Er bekam neben der regulären Ausschüttung weitere 10.000 US-Dollar (derzeit gut 7500 Euro) von Google als Anerkennung für seine intensive Fehlersuche. Aubizierre hatte kürzlich auf der Security-Konferenz Infiltrate einen Vortrag zum Thema "Fehlersuche in Webkit" gehalten. Darin beschreibt er, wie ihm Techniken des maschinellen Lernens helfen, sicherheitsrelevante Quellcode-Änderungen zu identifizieren.

Auch Aki Helin von der Universität im finnischen Oulu (OUSPG) und der bei der russichen Firma ONsec beschäftigte Arthur Gerkis erhielten jeweils 10.000 Dollar für ihre erfolgreiche Fehlersuche in den letzten Monaten. Gerkis hatte insbesondere die SVG-Implementierung in der Browser-Engine Webkit unter die Lupe genommen. (ck)