Cómo va el programa de recompensas de Google Chrome?


A principios de año, Google inició un programa de incentivos dirigido a investigadores de seguridad externos. Dicho programa consistía en pagos desde los 500 hasta los 1.337 dólares de los fallos más graves, concretamente aquellos etiquetados de gravedad alta o crítica. Una iniciativa inspirada, como Google reconoce, en el programa de recompensas de la fundación Mozilla.





El equipo de Chrome recibe reportes de vulnerabilidades a un flujo normal para un proyecto de su envergadura, aunque tan solo once de ellas han sido cualificadas para obtener la recompensa ofrecida. Se da la circunstancia de que algunos de los investigadores han declinado el cobro de las mismas en favor de donaciones a la caridad, en ese caso Google incluso aumentó la cantidad a donar.

Además de la recompensa, Google acredita al descubridor agradeciendo su contribución y nombrándole, algo que para algunos puede tener incluso mayor valor que la cantidad cobrada.

En este momento hay solo once vulnerabilidades en el "Muro de la fama" procedentes de ocho investigadores diferentes. Tan solo una de ellas ha obtenido la máxima valoración de 1.337 dólares. Hay dos de 1.000 dólares, siete de 500 dólares y una de 509 dólares. Esta última cantidad es debido a que su descubridor, wushi, pertenece al grupo team509 y al parecer ese detalle no pasó desapercibido para Google.

De momento el único ganador en la categoría de los 1.337 dolares es Sergei Glazunov, con un desbordamiento de entero en la función "WebGLArray::create" del motor de código abierto WebKit. Dicho motor es el mismo que usa el navegador de Apple Safari, por lo que algunas veces comparten vulnerabilidades y los investigadores efectúan pruebas en ambos cuando se trata de partes comunes.

Se da la circunstancia de que cuatro de las premiadas, incluida la de Glazunov, fueron parcheadas pocos días antes del comienzo del Pwn2Own de este año. Concurso que año tras año va ganando mayor atención mediática.

Otras dos de la categoría de 500 dolares han sido publicadas, conjuntamente con otras cinco vulnerabilidades, en la versión estable 4.1.249.1059 el pasado 20 de abril.

A varios meses desde el comienzo del programa de incentivos podrían parecer pocas las vulnerabilidades premiadas hasta ahora, aunque sabemos que "cazar" una buena pieza lleva tiempo, arte y paciencia.

¿Habría mejorado el número de reportes subir los 1.337 a 31.337 dólares?

Más Información:

Encouraging More Chromium Security Research
http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html

Stable Update: Security Fixes (20 de abril)
http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.html

Stable Channel Update (17 de marzo)
http://googlechromereleases.blogspot.com/2010/03/stable-channel-update.html

Fuente:
David García
http://www.hispasec.com



Otras noticias de interés:

Importante Fallo en Apache (Todas las versiones)
Escrito por Lolaine en y de Infohackers: ISS X-Force ha publicado (irresponsablemente, sin notificar a Apache Foundation ni dar tiempo para realizar el parche) un fallo de seguridad en todas las versiones del servidor web Apache, el más usado...
Si son gratis, bienvenidos sean los virus
Un anuncio publicado por un blogger, que prometía infectar los ordenadores de los usuarios, recibe cientos de visitas. Los bloggers son quizá los usuarios más activos de la Red, una parte importante de los internautas que interactúan, suben conte...
Redes sociales propician el nacimiento spam 2.0
¿Cuántos correos electrónicos has recibido últimamente donde un amigo te invita a ver su perfil en una red social fantasma nueva? ...
Instantbird vuelve a la vida!
Instantbird es un cliente de mensajería instantánea que utiliza el motor XULRuner, el mismo que utilizan todas las aplicaciones de la Fundación Mozilla, como Firefox, Thunderbird y Seamonkey. Además, utiliza las librerías libpurple, brindando el...
Ataques de fuerza bruta y diccionario contra Terminal Server
Ojo con la configuración de seguridad de Terminal Server para Windows. Si no os queda más remedio que tener que trabajar con el sistema de Redmond, y usáis Terminal Server, recordad que una de las cosas a configurar debería de ser limitar el núm...
Si en tu MS-Windows comienza a sonar - Para Elisa- , ponte a rezar
Puede parecer una broma pero no lo es en absoluto: si tienes instalado Windows 2000, Windows 98, Windows NT o Windows 95 y de repente el sistema operativo empieza reproducir por su cuenta la melodía de Beethoven de nombre Para Elisa más vale que te...
F-Secure: no usen JAVA
Un estudio de la empresa F-Secure clasificó a Java como una aplicación insegura, por lo que instó a los usuarios para que se actualicen a las versiones más recientes o bien, se deshagan de ella por completo porque no lo necesitan y su hábitos de...
Estudio acerca de la seguridad en la autenticación de clientes Twitter
INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los cli...
¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!
Ha estado circulando desde hace unos días, la siguiente falsa alarma, sobre un supuesto virus que se transmite a través del Messenger. El texto hace referencia a un archivo determinado de Windows, QUE SE PIDE SEA BORRADO SI ESTA EN SU COMPUTADORA. ...
Liberado Mozilla 1.1
Ya fue liberada la versión final de Mozilla 1.1. Lo puedes bajar desde http://www.mozilla.org/releases Trae interesantes opciones....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • google
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • programa
  • recompensas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra