Cómo va el programa de recompensas de Google Chrome? - xombra.com



A principios de año, Google inició un programa de incentivos dirigido a investigadores de seguridad externos. Dicho programa consistía en pagos desde los 500 hasta los 1.337 dólares de los fallos más graves, concretamente aquellos etiquetados de gravedad alta o crítica. Una iniciativa inspirada, como Google reconoce, en el programa de recompensas de la fundación Mozilla.

El equipo de Chrome recibe reportes de vulnerabilidades a un flujo normal para un proyecto de su envergadura, aunque tan solo once de ellas han sido cualificadas para obtener la recompensa ofrecida. Se da la circunstancia de que algunos de los investigadores han declinado el cobro de las mismas en favor de donaciones a la caridad, en ese caso Google incluso aumentó la cantidad a donar.

Además de la recompensa, Google acredita al descubridor agradeciendo su contribución y nombrándole, algo que para algunos puede tener incluso mayor valor que la cantidad cobrada.

En este momento hay solo once vulnerabilidades en el "Muro de la fama" procedentes de ocho investigadores diferentes. Tan solo una de ellas ha obtenido la máxima valoración de 1.337 dólares. Hay dos de 1.000 dólares, siete de 500 dólares y una de 509 dólares. Esta última cantidad es debido a que su descubridor, wushi, pertenece al grupo team509 y al parecer ese detalle no pasó desapercibido para Google.

De momento el único ganador en la categoría de los 1.337 dolares es Sergei Glazunov, con un desbordamiento de entero en la función "WebGLArray::create" del motor de código abierto WebKit. Dicho motor es el mismo que usa el navegador de Apple Safari, por lo que algunas veces comparten vulnerabilidades y los investigadores efectúan pruebas en ambos cuando se trata de partes comunes.

Se da la circunstancia de que cuatro de las premiadas, incluida la de Glazunov, fueron parcheadas pocos días antes del comienzo del Pwn2Own de este año. Concurso que año tras año va ganando mayor atención mediática.

Otras dos de la categoría de 500 dolares han sido publicadas, conjuntamente con otras cinco vulnerabilidades, en la versión estable 4.1.249.1059 el pasado 20 de abril.

A varios meses desde el comienzo del programa de incentivos podrían parecer pocas las vulnerabilidades premiadas hasta ahora, aunque sabemos que "cazar" una buena pieza lleva tiempo, arte y paciencia.

¿Habría mejorado el número de reportes subir los 1.337 a 31.337 dólares?

Más Información:

Encouraging More Chromium Security Research
http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html

Stable Update: Security Fixes (20 de abril)
http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.html

Stable Channel Update (17 de marzo)
http://googlechromereleases.blogspot.com/2010/03/stable-channel-update.html

Fuente:
David García
http://www.hispasec.com


Guardar publicación en PDF

Otras noticias de interes:

 Códigos QR y el malware
Los Quick Response (QR) son códigos de barra de dos dimensiones diseñados para ser leídos e interpretados rápidamente. Actualmente, y sumado a la gran proliferación de smartphones en el mercado, son muy utilizados para publicidades y campañas de marketing. Eso ocurre debido a su gran facilidad de manejo, ya que con solo apuntar la cámara del dispositivo al código de barra se puede acceder a una dirección URL determinada.
 Importante actualización para Microsoft Office y VBA
Microsoft ha publicado una actualización(*) que corrige una vulnerabilidad que afecta a los usuarios de Microsoft Office, o de cualquier aplicación que utilice Microsoft Visual Basic para Aplicaciones (VBA), y posibilita que un atacante ejecute código arbitrario en el sistema.
 La estandarización del OOXML es una mierda.
El proceso fue una completa, total y auténtica mierda. Frase de Tim Bray, creador del XML que resume la semana de debate que se ha celebrado en Suiza. El prometido consenso ha sido un desastre, con 6 votos a favor, 4 votos en contra, 18 abstenciones y 6 países que ni han votado en protesta, según lo que se rumorea de filtraciones del evento. Imposible que esta reunión ayude a los organismos nacionales a considerar su decisión previa.
 Los expertos definen el software libre del futuro
Coincidiendo con la aprobación por parte de la Unión Europea de la propuesta de directiva sobre patentabilidad de programas, un grupo internacional de expertos se ha reunido en Barcelona para definir los retos a los que se enfrenta el software libre en la próxima década. El grupo ha presentado la “Declaración de Barcelona para el avance del software libre”, un documento que recoge los desafíos de esta tecnología y cómo afrontarlos.
 Mozilla y W3C unidos ante protección anti rastreo
El consorcio W3C ha creado el Grupo de Trabajo para la Protección contra el Rastreo, que ayudará en la creación de estándares especiales que permitan a los usuarios avisar cuando no desean que sus actividades sean rastreadas por los sitios web, algo sobre lo que según Mozilla todavía hay mucho que conscientizar puesto que de acuerdo a sus propias estadísticas menos del 5% de los usuarios de Firefox ha activado la protección anti-rastreo.

Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • cómo

  • programa

  • recompensas

  • google

  • chrome

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql