Google: rekordowa nagroda za lukę w Chrome

Koncern Google udostępnił aktualizację dla przeglądarki Chrome, usuwającą z niej 16 błędów w zabezpieczeniach. Co ciekawe, jedna z załatanych właśnie luk wydaje się wyjątkowo poważna - bo Google wypłacił jej odkrywcy rekordową nagrodę.

W najnowszym wydaniu Chrome - 8.0.552.334 - załatano luki w kilku różnych komponentach, m.in. wbudowanym czytniku plików PDF oraz modułach odpowiedzialnych za obsługę rozszerzeń czy kaskadowych arkuszy stylów (CSS). 13 luk uznanych zostało za "wysoce niebezpieczne", dwie określono mianem "umiarkowanie niebezpiecznych", zaś jedną zaklasyfikowano jako "krytyczną" (czyli taką, która może zostać wykorzystana do zaatakowania komputera bez żadnej akcji ze strony użytkownika).

Na razie o lukach nie wiadomo zbyt wiele - Google tradycyjnie zablokował dostęp do najnowszych wpisów w bazie danych nt. błędów Chrome. Będzie można do nich zajrzeć dopiero za kilkanaście dni, gdy większość użytkowników przeglądarki koncernu pobierze i zainstaluje aktualizacje.

3133,7 USD za dziurę

Wygląda jednak na to, że ów jedyny krytyczny błąd był wyjątkowo poważny - bo Google wypłacił niezależnemu specjaliście rekordową nagrodę za jego wykrycie. Sergey Glazunov zainkasował 3 133,7 USD - to najwyższa kwota, jaka jest przewidziana w "cenniku" programu nagród Google. Co więcej - to pierwszy przypadek wypłacenia tak wysokiej nagrody.

"Z przyjemnością informuję, że właśnie wypłaciliśmy pierwszą elitarną nagrodę w ramach programu Chromium Security Reward. Otrzymał ją Sergey Glazunov" - napisał w firmowym blogu Jason Kersey, menedżer ds. Chrome.

Do lipca 2010 wysokość "elitarnej" nagrody wynosiła 1337 USD (to nawiązanie do hakerskiego slangu - "leet" to tyle co "elita", słowo to bywa często zapisywane też "l33t" lub właśnie 1337). Później jednak Google zwiększył tę kwotę do 3 133,7 USD, co było to reakcją na podniesienie maksymalnej nagrody w analogicznym programie Mozilli.

Trzeci pakiet łat

Błąd wykryty przez Glazunova jest pierwszą krytyczną luką, którą Google załatał w Chrome po zwiększeniu wysokości nagród (dodajmy, że "elitarną" nagrodę można otrzymać wyłącznie za zgłoszenie luki krytycznej - aczkolwiek nie każdy taki błąd jest wyceniany na 3 133,7 USD). Wiadomo, że za wykrycie załatanych właśnie błędów Google zapłacił w sumie ok. 14 tys. USD.

Najnowszy pakiet poprawek dla Chrome 8 jest trzecią aktualizacją dla tego wydania od czasu oficjalnego udostępniania stabilnej wersji na początku grudnia ubiegłego roku. Program aktualizuje się sam - po pobraniu i zainstalowaniu poprawek Chrome wyświetli komunikat o konieczności zrestartowania przeglądarki.

Warto wspomnieć, że z przeglądarki Google'a korzysta obecnie ok. 10% internautów z całego świata (w Polsce jest to już blisko 11%).