@Mairon17 авг 2012 в 01:33

Google усиливает безопасность Chrome, увеличивает вознаграждения и объявляет конкурс с фондом в $2 млн

3 мин

Google ChromeИнформационная безопасность *

+18

Комментарии 13

@IrkDesigner 17 авг 2012 в 03:30

Ну наконец то! Решение о исполнении кода в песочнице лежало на поверхности, а вот реализация затребовала несколько долгих лет.
Теперь для удаленного выполнения кода будут искать уязвимость в гуглопесочницах.

@IrkDesigner 17 авг 2012 в 06:07

Ненавижу не аргументированное минусование. Не считаю что не прав, но если ошибаюсь, то хочу знать в чем.

@Zigmar 17 авг 2012 в 12:49

Так в Хроме почти все бежит песочнице с первой версии, вне песочницы были только плагины, из за ограничений NPAPI, что сейчас и поправили…

@Gangsta 17 авг 2012 в 07:20

все равно, макс.награда $60K, тогда как на черном рынке 200-300К.

@shifttstas 17 авг 2012 в 07:33

Вы не учли один момент, если вы найдете уязвимость и расскажете о ней гуглу, то кроме денег вы получите бесплатный бонус в виде пиара своего имени, что облегчит устройство на высокооплачеваемую работу (да и даже возможно в ту же команду Google Chrome)

@Gangsta 17 авг 2012 в 10:00

Посчитаем стоимость такого пиара. Среднее значение за баг = $250K. Гугл платит $60K. Стоимость пиара примерно равна $190K. Не очень-то бесплатный бонус получается-)

@EiZeRR 24 авг 2012 в 12:39

Дада, а еще если учитывать, что хром — едва ли не самый защищенный piece of software на сегодня, это вообще мизер. Чувак, который выйграл прошлый конкурс — его уязвимость — это просто анрил, на разработку эксплоита для нее, нужно просто знать исходники наизусть и потратить года два — явно не стоит 60к.

@Inflame 17 авг 2012 в 17:29

Откуда информация о таких цифрах? Forbes говорит о стоимости в $80k-$200k за эксплоит.

@komarov 17 авг 2012 в 08:00

Вы не учли один момент, какая-то там «высокооплачеваемая работа» не принесёт вам 260-60=200 кусков зелени ни за что :-) даже в команде Google Chrome за такие бабки придётся года два горбатиться

@Archangel0708 17 авг 2012 в 08:40

Зато карма чище будет.

@Gangsta 17 авг 2012 в 10:03

Такие баги в основном покупают правительственные организации, в рашн мафию они обычно не попадают, там не привыкли платить и могут кинуть (пруф).

@sup 17 авг 2012 в 09:16

Я бы не сказал, что обновление прошло совсем незамеченным. Лично мне очень запомнился этот баг
Video playback fails on YouTube or any flash based site

@soko1 17 авг 2012 в 09:35

>Уязвимости в библиотеке libjpg. Разработчики недовольны тем фактом, что уже долгое время не было ядрёных атак через уязвимости в этом компоненте.

Странноватые у них поводы для радости

Зарегистрируйтесь на Хабре, чтобы оставить комментарий