Mairon Aug 17 2012 at 05:33

Google усиливает безопасность Chrome, увеличивает вознаграждения и объявляет конкурс с фондом в $2 млн

3 min

+18

Comments 13

IrkDesigner Aug 17 2012 at 07:30

Ну наконец то! Решение о исполнении кода в песочнице лежало на поверхности, а вот реализация затребовала несколько долгих лет.
Теперь для удаленного выполнения кода будут искать уязвимость в гуглопесочницах.

IrkDesigner Aug 17 2012 at 10:07

Ненавижу не аргументированное минусование. Не считаю что не прав, но если ошибаюсь, то хочу знать в чем.

Zigmar Aug 17 2012 at 16:49

Так в Хроме почти все бежит песочнице с первой версии, вне песочницы были только плагины, из за ограничений NPAPI, что сейчас и поправили…

Gangsta Aug 17 2012 at 11:20

все равно, макс.награда $60K, тогда как на черном рынке 200-300К.

shifttstas Aug 17 2012 at 11:33

Вы не учли один момент, если вы найдете уязвимость и расскажете о ней гуглу, то кроме денег вы получите бесплатный бонус в виде пиара своего имени, что облегчит устройство на высокооплачеваемую работу (да и даже возможно в ту же команду Google Chrome)

Gangsta Aug 17 2012 at 14:00

Посчитаем стоимость такого пиара. Среднее значение за баг = $250K. Гугл платит $60K. Стоимость пиара примерно равна $190K. Не очень-то бесплатный бонус получается-)

EiZeRR Aug 24 2012 at 16:39

Дада, а еще если учитывать, что хром — едва ли не самый защищенный piece of software на сегодня, это вообще мизер. Чувак, который выйграл прошлый конкурс — его уязвимость — это просто анрил, на разработку эксплоита для нее, нужно просто знать исходники наизусть и потратить года два — явно не стоит 60к.

Inflame Aug 17 2012 at 21:29

Откуда информация о таких цифрах? Forbes говорит о стоимости в $80k-$200k за эксплоит.

komarov Aug 17 2012 at 12:00

Вы не учли один момент, какая-то там «высокооплачеваемая работа» не принесёт вам 260-60=200 кусков зелени ни за что :-) даже в команде Google Chrome за такие бабки придётся года два горбатиться

Archangel0708 Aug 17 2012 at 12:40

Зато карма чище будет.

Gangsta Aug 17 2012 at 14:03

Такие баги в основном покупают правительственные организации, в рашн мафию они обычно не попадают, там не привыкли платить и могут кинуть (пруф).

sup Aug 17 2012 at 13:16

Я бы не сказал, что обновление прошло совсем незамеченным. Лично мне очень запомнился этот баг
Video playback fails on YouTube or any flash based site

soko1 Aug 17 2012 at 13:35

>Уязвимости в библиотеке libjpg. Разработчики недовольны тем фактом, что уже долгое время не было ядрёных атак через уязвимости в этом компоненте.

Странноватые у них поводы для радости