Google verkündet Gewinner des Native Client Security Contest
Der Native Client soll Web-Anwendungen den Zugriff auf die volle Leistungsfähigkeit des Client-Prozessors ermöglichen. Mehrere Teams von Sicherheitsspezialisten hatten den Code nach Sicherheitslücken und Designfehlern durchforstet.
Google hat den Gewinner seines Native Client Security Contest verkündet, bei dem mehrere Teams von insgesamt 600 Sicherheitsspezialisten den Code von Googles kommendem Projekt nach Sicherheitslücken und Designfehlern durchforsteten. Der Native Client soll Web-Anwendungen den Zugriff auf die volle Leistungsfähigkeit des Client-Prozessors ermöglichen. Dennoch soll die Browserneutralität, die Betriebssystemunabhängigkeit sowie die Sicherheit gewährleistet bleiben. Der Client besteht aus einer Laufzeitumgebung und einem Browser-Plugin und soll zu Firefox, Safari, Opera und Google Chrome kompatibel sein – der Internet Explorer bleibt außen vor. Vermutlich wird Google den Client noch vor Ende dieses Jahres in Chrome integrieren.
Das Gewinner-Team "Beached As", bestehend aus Mark Dowd von IBMs X-Force und dem unabhängigen Sicherheitsspezialisten Ben Hawkes, meldete zwölf Sicherheitsprobleme an Google, die der Hersteller nachvollziehen konnte. Darunter befanden sich mehrere Schwachstellen im Validator, der bösartigen Code vor der Ausführung im Native Code erkennen und blockieren soll. Als Preis hatte Google rund 8000 US-Dollar ausgelobt, über deren Verteilung unter den Gewinnern der Suchmaschinenanbieter jedoch keine genauen Angaben macht. Das zweitplatzierte Team, das aus Spezialisten von Matasano Security bestand, förderte immerhin drei Sicherheitslücken zu Tage. Insgesamt bestand das Siegertreppchen aus fünf Stufen.
Google betont in seiner Mitteilung, dass keiner der gefundenen Fehler auf einen fundamentalen Fehler im Design des Native Client hindeute. Mark Dowd lobte sogar die hohe Qualität des von ihm überprüften Quell-Codes.
Siehe dazu auch:
(dab)
