Google vergibt erste Prämie für Fehler in Chrome
Ein Sicherheits-Update für Chrome schließt drei kritische Lücken. Für einen weiteren beseitigten Fehler hat Google im Rahmen des neuen Programms "Chromium Security Reward" 500 US-Dollar vergeben.
- Daniel Bachfeld
Gerade einmal zwei Wochen ist Version 4 des Google-Browsers Chrome verfügbar, da legt der Hersteller ein Sicherheits-Update 4.0.249.89 für Windows vor, um sieben Sicherheitsprobleme zu lösen. Das Update gelangt über den automatischen Update-Mechanismus auf den PC – es lässt sich aber auch manuell anstoßen.
Einen Integer Overflow in der V8-JavaScript-Engine sowie beim Verarbeiten bestimmter Nachrichten aus der Sandbox stufen die Entwickler als ebenso kritisch ein wie einen Fehler beim Verarbeiten des in HTML 5 eingeführten <ruby>-Tags. Alle kritischen Fehler hat das hauseigene Chrome Security Team gefunden.
Erstmals prämiert Google einen Fehler im Rahmen des kürzlich ausgerufenen Programms "Chromium Security Reward": 500 US-Dollar erhält Timothy D. Morgan vom Sicherheitsdienstleister VSR für seinen "Domain confusion populating HTTP authentication" betitelten Fehler. Was das genau bedeuten soll, ist derzeit unklar. Der erklärende Fehlerbericht dazu ist noch nicht öffentlich verfügbar. Immerhin stuft Google die durch den Fehler entstehende Bedrohung als "mittel" ein.
In Anlehnung an das bereits 2004 initiierte "Security Bug Bounty Program" der Mozilla-Foundation gibt es für jeden gefundenen Fehler 500 US-Dollar. In Sonderfällen entscheidet ein Gremium, ob die Summe auf 1337 US-Dollar erhöht wird. Das soll allerdings nur der Fall sein, wenn die Lücke besonders kritisch ist oder der Bericht über eine Lücke und wie man sie ausnutzt, besonders ausgefeilt ist. Google erhofft sich damit, die Sicherheit seines Browsers und damit auch die der Anwender weiter zu verbessern
Siehe dazu auch:
