» »

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

vir: Google
Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč dolarjev za prijavitelje hroščev. Razpis je še vedno odprt, podobno pa odkrite napake nagrajuje tudi Mozilla.

19 komentarjev

denial ::

In če pogledaš Hall of fame lahko izračunaš, da je Sergey Glazunov v enem letu zalužil slabih 20.000 USD z bugi v Kromu.
SELECT finger FROM hand WHERE id=3;

Tr0n ::

It's a fulltime job.

gumby ::

Z "random" klikanjem po straneh ziher ne boš našel takih bugov...
my brain hurts

_veyron ::

samo kako se najde Bug v Google Chrome če lahko gdo pove

RockyS ::

V bistvu moraš prvo znat naredit aplikacijo, skripto or whatever, ki bo znala nek bug izkoristit. Če tega ne znaš potem tud buga neboš našel in vprašanje če se takim luknjam lahko reče bug, po mojem je vse skupaj bolj exploit kot pa bug...

Mipe ::

Intenzivno moraš uporabljati Chrome, in to na vse možne načine, ne samo za brskanje po pornu. To vključuje razvijanje in preizkušanje pluginov za Chrome, skine, preizkušanje vseh možnih nastavitev itd.

Skratka... Kot je rekel Tr0n, fulltime job.

_veyron ::

aha hvala končnu nekdu ku se ne dela norca ku kej kdaj uprašaš če nne veš

denial ::

V bistvu moraš prvo znat naredit aplikacijo, skripto or whatever, ki bo znala nek bug izkoristit. Če tega ne znaš potem tud buga neboš našel in vprašanje če se takim luknjam lahko reče bug, po mojem je vse skupaj bolj exploit kot pa bug...

Ne rabiš pisati exploitov da se kvalificiraš za bug bounty. Zadostuje crash dump v debugerju in PoC s katerim lahko reproduciraš zadevo (PoC != exploit).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Dragi ::

Poc ??

RockyS ::

Proof of concept

filip007 ::

Mene bolj zanima, koliko so gesla varna, če jih brskalnik ne shranuje v svojo zbirko ampak stran samo po sebi...naj to kdo to Hekenzi pekenzi.
PristyTools.com

arjan_t ::

filip007 je izjavil:

Mene bolj zanima, koliko so gesla varna, če jih brskalnik ne shranuje v svojo zbirko ampak stran samo po sebi...naj to kdo to Hekenzi pekenzi.


kaj???

filip007 ::

Brskalnik ima opcijo, da ne shranuje gesla, ampak ker jih stran ponudi za shranit potem vseeno shrani geslo nekam. Če komu rata dobit besla ven, to je sugurno vredno kaj, za objavit na Googlu.
PristyTools.com

techfreak :) ::

Če označiš, da ne boš shranjeval gesla, potem jih ne bo. Če pa stran ponudi za shranit geslo, potem pa to naredijo s piškotom v katerem ni gesla.

miranpozar ::

Dobiti shranjena gesla iz popularnih programov ni noben problem. Tu imaš take freeware programčiče:
http://www.nirsoft.net/password_recover...
Miran Požar, Portorož, http://sites.google.com/site/miranpozar/

Matthai ::

Ja, res ni problem, če imaš master password dolg 6 znakov.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

techfreak :) ::

Večina ljudi nima nastavljenega master passworda.

Matthai ::

Pol pa ne vem kaj točno tisti programi bruteforcajo... :D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

c0dehunter ::

Ja v primeru da geslo ni NULL, ga bruteforca? :) Ne vem, sklepam..
I do not agree with what you have to say,
but I'll defend to the death your right to say it.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prvi odprtokodni gonilnik za Kinect

Oddelek: Novice / Konzole
294383 (3012) BALAST
»

Kinect izšel v ZDA, razpisana nagrada za odprtokodne gonilnike

Oddelek: Novice / Konzole
232982 (1822) Aggressor
»

Mozilla plačala dvanajstletniku tri tisoč dolarjev za najdeno ranljivost

Oddelek: Novice / Varnost
405723 (2221) filip007
»

Mozilla odkrite ranljivosti bogateje nagrajuje

Oddelek: Novice / Brskalniki
54174 (3295) DMouse
»

Google plačuje za luknje

Oddelek: Novice / Varnost
204132 (2549) PIPI

Več podobnih tem