» »

Mozilla plačala dvanajstletniku tri tisoč dolarjev za najdeno ranljivost

Mozilla plačala dvanajstletniku tri tisoč dolarjev za najdeno ranljivost

Alex Miller z Mozillinim čekom v rokah

vir: CNET News
CNET News - Mozilla je že pred časom razpisala program, po katerem so lahko posamezniki zaslužili 500 ameriških zelencev za najdeno varnostno ranljivost, vendar kljub času recesije in krčenju proračunov tudi v IT sektorju to ni spodbudilo resnejšega interesa po iskanju varnostnih ranljivosti. Ko pa so se odločili skladno z izboljšanim stanjem na trgu dela in splošnim stanjem gospodarstva to cifro pomnožiti za šest, torej na tri tisoč dolarjev, so vpodbudili nekoliko resnejši interes.



Ker so trije tisočaki precejšen znesek za dvanajstletnika, je Alex Miller še bolj zastrigel z ušesi kot večina odraslih in se vrgel na delo (nenazadnje, le zakaj bi pomival avtomobile za borih dvajset dolarjev?). Prva varnostna ranljivost, ki jo je našel na žalost ni izpolnila kriterija za izplačilo nagrade, a po nekoliko daljšem trudu je v približno desetih dneh v svojem prostem času našel varnostno ranljivost, ki je izpolnila pogoje za izplačilo.

Če vam torej ukvarjanje z zelo nišnim področjem računalniške varnosti predstavlja izziv (Mozilla pravi, da kljub nagradam na varnostnih ranljivostih dela relativno malo ljudi), sedaj veste kje lahko testirate novo pridobljeno znanje in za najdene ranljivosti dobite še spodobno plačilo.

40 komentarjev

mtosev ::

Mozilla faca :))
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Blazz ::

tamau pa po možnosti pr 12tih že na faksu. Majico ima že pravo ;)

amigo_no1 ::

To je zaskrbljajoče, če 12 letni otrok najde exploit v 10 dneh (v sojem prostem času), potem jih skupina resnih "raziskovalcev" najde (odkriva) na "tone" (seveda ne grejo v javnost ampak so za lastne "potrebe").

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

Lion29 ::

zelo mocno se nagibam k temu, da je to samo PR za pridobivanje rekrutov, torej ce je 12 letnik zmozen v prostem casu najti ranljivost, jo je sposoben vsaki...

dobra ideja
Founder and CTO @ Article-Fatctory.ai

filip007 ::

Vsak pač ni heker...
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

eee ::

Mali zgleda faca :)

Izi ::

Tale 12 letnik verjetno po 16 ur na dan preživi za računalnikom in ima verjetno več programerskega znanja kot mi vsi skupaj tukaj :P
Si je kar zaslužil tale ček. Verjetno ga bo porabil za nov računalnik :D

Monster ::

a po alpha verzijah lahko tud iščeš buge?

edit: Ne
Security bug is present in the most recent supported, beta or release candidate version of Firefox, Thunderbird, Firefox Mobile, or in Mozilla services which could compromise users of those products, as released by Mozilla Corporation or Mozilla Messaging.
from link ;)
Ka zaboga...

Zgodovina sprememb…

  • spremenil: Monster ()

DOOM_er ::

Lion29 je izjavil:

zelo mocno se nagibam k temu, da je to samo PR za pridobivanje rekrutov, torej ce je 12 letnik zmozen v prostem casu najti ranljivost, jo je sposoben vsaki...

dobra ideja


pa jo dej trije jurji te čakajo :))
Robots will steal your job. But that's OK

Lion29 ::

mah, ce bi mel cas bi se mogoce se lotil.. mogoce... ker pa se ne vidi ven.. in tisti prosti cas raje prezivim ob gledanju dexterja, pac ne bom ;)
Founder and CTO @ Article-Fatctory.ai

Furbo ::

Evo mulčki navalite, ne pa da študirate, kako služiti z opisovanjem artiklov v spletnih prodajalnah ali kako prihraniti 50EUR pri stolu.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

opeter ::

Jaz, če bi 50 let iskal in sedel celo 20 ur/dan poleg računalnika, ne bi našel napake.
Čestitke fantu!
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Icematxyz ::

Odprte tehnologije pač omogočajo takšne zadeve. Ne štejejo pa ob koncu dneva leta, ampak znanje. Zakaj 12 letnik ne bi mogel imeti dovolj znanja? Kaj pa če že na primer 6 let "dela" na tem področju. ;)

System ::

Lion29, hvala da si me spomnil!
Danes je Dexter dan!

AmokRun ::

Upam, da bo denar za kaj pametnega uporabil, da ne bo čez par let po forumih odpiral teme: Star sem 30 in še zmeraj devičnik. :D

denial ::

Poba je našel tale bug: KLIK

IMO je bug našel s fuzzingom in ne s pregledovanjem kode. Testcase pa najbrž izgleda takole:
javascript:document.write("A x n");

n je pač ustrezno dolg string.

Kakorkoli, ph33r t3h k1d0 :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

filip007 ::

"Get ready new Bill Gates is here"

http://sanfrancisco.cbslocal.com/catego...
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

Zgodovina sprememb…

  • spremenil: filip007 ()

Icematxyz ::

filip007 je izjavil:

"Get ready new Bill Gates is here"

http://sanfrancisco.cbslocal.com/catego...


Kaj ima zdaj spet Microsoft s tem. Poglej na sliki kateri OS uporablja. ;)

Novi Linus Torvalds! Če že. Hehe. Oziroma upajmo, da nekoč dober varnostni strokovnjak na področju OSS.

Zgodovina sprememb…

System ::

Lol, pa res uporablja Ubuntu.

matejdro ::

Icematxyz je izjavil:

filip007 je izjavil:

"Get ready new Bill Gates is here"

http://sanfrancisco.cbslocal.com/catego...


Kaj ima zdaj spet Microsoft s tem. Poglej na sliki kateri OS uporablja. ;)

Novi Linus Torvalds! Če že. Hehe. Oziroma upajmo, da nekoč dober varnostni strokovnjak na področju OSS.


Nima nič veze z microsoftom. Verjetno je mislil billa gateas, ki je že v mladih letih začel z računalništvom.

filip007 ::

Ja in dual boot na XP, zdaj pa že nehajte...:P
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

mtosev ::

ja ni cudno da uporablja Linux, ce ima 10let star comp.na 10let starem compu se windows xp ne tece gladko
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

bluefish ::

Na 10 let starem računalniku veliko opcij za zabavo tako ali tako nima in mu potem preostane le igranje s programi ipd.

_Dormage_ ::

Sumim, da je tip slučajno pri programiranju spletne strani z javascriptom naletel na težave.
Ko je kontroliral crossbrowser compatibility je opazu, da stvar dela probleme samo pri FF.
In dejansko je poslal obvestilo na mozzilo.
Genijalec o.O?

PINki ::

mtosev?

Mare3 ::

DOBO! X2

mtosev ::

PINki je izjavil:

mtosev?

watch the video
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Icematxyz ::

No, da nebi res kdo šel na 10 let star računalnik nalagati Ubuntu + FF. Ker bo razočaran. Pač v vednost...

Zgodovina sprememb…

Shuli ::

Drugace je pa bolje da isce napake v kodi, kot pa isti cas prebije npr. na facebooku. :P

by root: brisan del na referenco.

Zgodovina sprememb…

  • spremenil: root987 ()

ingo ::

Eni so pa fouš!!!! :)):D

Hair ::

worldwide marketing za 3000EUR. bravo mozilla! :D
Whenever people agree with me, I feel I must be wrong.

opeter ::

ingo je izjavil:

Eni so pa fouš!!!! :)):D


Seveda. Predstavljaj si 35 letnega devičnika, koliko kurb bi lahko plačal iz 3000 dolarjev!
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Monster ::

opeter je izjavil:

ingo je izjavil:

Eni so pa fouš!!!! :)):D


Seveda. Predstavljaj si 35 letnega devičnika, koliko kurb bi lahko plačal iz 3000 dolarjev!



.. hehehe :D samo eno, ampak dobro :P :)
Ka zaboga...

denial ::

The trojan was initially reported as live on the Nobel Peace Prize site, and that specific site is now being blocked by Firefox’s built-in malware protection. However, the exploit code could still be live on other websites. (Vir: KLIK)

Če bi šlo za vrzel v IE bi bilo v vseh medijih, kot mitigation pa bi bil naveden "switch to alternative browser". Ker gre za almighty FF je disejbljanje JS dovolj.
SELECT finger FROM hand WHERE id=3;

Icematxyz ::

Pod rubriko "Vredno ogleda...":

http://slo-tech.com/novice/t316791

Se pravi brez, da sem karkoli iskal. Novica o resni ranljivosti v FF.

Ne vem. Sam menim, da se resne varnostne ranljivosti vedno obešajo na veliki zvon. Ne glede na spletni brskalnik.

Zgodovina sprememb…

denial ::

SI-CERT
Tistemu pod tretjo točko "Rešitev" se reče objektivnost.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Icematxyz ::

Kadar gre za podobno zadevo v IE. Microsoft torej priporoča uporabo alternativnega spletnega brskalnika?

Če prav razumem, te moti, da Mozilla ni napisala (kot rešitev) tretje točke. Tako kot se priporoča na www.cert.si.

Kateri proizvajalec spletnih brskalnikov pa drugače napiše to? To bi me zanimalo.

denial ::

Če prav razumem, te moti, da Mozilla ni napisala (kot rešitev) tretje točke. Tako kot se priporoča na www.cert.si.

Motiš se. Mislil sem nekaj popolnoma drugega a)da so vrzeli v MSFT produktih deležne večjega medijskega pokrivanja in b)da se v teh primerih pogosto kot alternativa navaja switch to different browser/OS.

Sedaj pa si razloži kakor ti ustreza.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Icematxyz ::

Tistemu pod tretjo točko "Rešitev" se reče objektivnost.


To dvomim, da je letelo na "medije". Ampak OK.

filip007 ::

3.6.11 ima to fliko noter...(MFSA 2010-65)
http://www.mozilla.org/security/known-v...

Bug je najdel na W7, 10 let star PC so samo novinarske račke...
https://bugzilla.mozilla.org/show_bug.c...
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

Zgodovina sprememb…

  • spremenil: filip007 ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Edge ponekod poganja Flash brez odobritve uporabnikov

Oddelek: Novice / Brskalniki
144874 (1846) slitkx
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20175108 (57662) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13949828 (39965) fujtajksel
»

0-day exploits = 0-year exploits

Oddelek: Novice / Varnost
154261 (3165) MrStein
»

Raziskava o ranljivosti spletnih strani z SQL bazami podatkov

Oddelek: Novice / Varnost
204750 (4086) sverde21

Več podobnih tem