Clever Geek Handbook

GoogleはChromeのセキュリティを強化し、報酬を増やし、200万ドルのファンドコンテストを発表します

なんとなくHabrにとって非常に静かにGoogle Chrome 21がリリースされました。Chromiumプロジェクトの開発者は、ブラウザディストリビューションに統合されたAdobe Flash Playerランタイムのセキュリティの強化を発表しました。 さらに、Googleの経営陣は、特定された脆弱性に対するChromiumコミュニティの代表者への報酬の増加を発表し、ブラウザーハッキングを実証するコンテストの開始も発表しました。 賞金は200万ドルのバーと60ドルの最大報酬に設定されています。



Adobe Flash Player



2009年8月、Googleは新しいプロジェクトの開始を発表しました-プラグインを有効にするPepperプラグインAPI。 GoogleのNPAPIメカニズムによると、このインターフェースは時代遅れのものに取って代わるものでした。 プロセスの分離と完全なクロスプラットフォームモジュールにより、Googleはより安定した運用と説明した見込み客の本質。 Mozilla このベンチャーを放棄し、検索の巨人はその方針を固く曲げました。 2010年には、PPAPI自体のサポートがChromeに実装され、今年の8月には、このインターフェイスでAdobe FlashとPepper PDF Readerの2つのモジュールが完全に動作します。



最大の問題がフラッシュを引き起こしました。 第一に、PPAPIベースのモジュール自体の開発はAdobeによって行われるべきでしたが、Googleはセキュリティを最適化して保証する必要があります。 これは開発を著しく複雑にし、多くの作業と妥協を伴うかなり長いプロセスをもたらしました。 Googleの最優先事項は、ポートプラグインの実行をサンドボックスに配置することです。 また、Chromeチームが1つのOSのみで動作する場合、これは問題を引き起こしませんが、Chromeが3つのプラットフォーム(GNU / Linux、OS XおよびMS Windows)およびシステムの全動物園で動作することを考えると、これは多くの落とし穴を作成しました8月にすべてのGNU / LinuxおよびWindowsシステムのすべてのユーザーがFlash Playerをフレームワークにサンドボックス化しました。 開発者は、Windows XPを使用している100万人のChromeユーザーが、Windows Vistaでのみ発表されたASLRMICなどの重要なセキュリティテクノロジーの欠如について落ち着いているという事実を特に誇りに思っています。 サンドボックスを使用すると、システムのアーキテクチャ上の弱点を利用したFlash Playerモジュールを介した攻撃の可能性が実質的に排除されます。

さらに、セキュリティの改善とは別に、PPAPIの使用により以下が可能になりました。





報酬と競争



Googleは、検出された脆弱性に対する支払いの増加に関する声明で、穴の検索が最近より複雑になり、研究者の多大な努力が必要であるという事実によってその決定を正当化します。したがって、これらの努力は正当化されなければならず、モチベーションを高める必要があります。 そのため、脆弱性を見つけるために、Googleは無制限の限度まで1,000ドルのボーナスボーナスを提供します。 さらに、特にエキゾチックな脆弱性を特定するための伝説的な報酬を得ることができます(現在、このような脆弱性については1万ドルが記録されています)。 そのようなバグは次のとおりです。



さらに、無料のライブラリ、コンポーネント、デーモンなどで脆弱性を見つけた人には追加のボーナスが付与されます。 脆弱性を発見した研究者がそれを報告するだけでなく、パッチをコミットしてから検証する場合、これは500ドルから1000ドルの追加報酬です。 他にも多くのボーナスがあります。



Pwnium 2コンテストについては、2012年10月のHITB会議で研究者はGoogle Chromeの脆弱性を実証することができます。GoogleChromeでは、最大6万ドルの報酬を受け取ることができます。賞金総額は200万ドルです。



ソース

1. クリス・エヴァンスより安全で、より安定した、より派手なフラッシュへの道

2. Chris EvansChromium Vulnerability Rewards Program:より大きな報酬


More articles:


All Articles