Google открывает сезон охоты на ошибки в Google Chrome

Компания Google готова выплачивать по 500 долларов за каждую уязвимость, найденную в ее браузере Chrome. Кроме того, уязвимости критической важности или ошибки, обнаружение которых потребовало особенной находчивости, компания оценит в 1337 долларов.

"Мы надеемся, что предложенная программа привлечет к работе над усилением безопасности Chromium новые силы. Чем больше людей участвует в исследовании кода, тем меньше остается неприятностей, с которыми могут столкнуться миллионы пользователей," – сообщил Крис Эванс (Chris Evans), член команды, работающей над безопасностью Chrome.

Награда предлагается не только за уязвимости самого браузера, но и за ошибки в коде расширений для него. "В отличие от Internet Explorer, Safari, Firefox, которые давно уже не новички на рынке браузеров, Chrome, а теперь еще и Chrome OS нуждаются в привлечении исследователей," – считает один из авторов книги "Fuzzing: исследование уязвимостей методом грубой силы" Педрам Амини (Pedram Amini), руководитель исследовательской группы по вопросам безопасности компании TippingPoint Technologies.

Google – не первая компания, предлагающая вознаграждение за сообщения об ошибках в ее продуктах. В августе 2004 года стартовала продолжающаяся до сегодняшнего дня программа компании Mozilla, которая также предусматривает выплату $500 за найденные уязвимости в приложениях Firefox, Thunderbird и других продуктах с открытым кодом.

Компания TippingPoint также руководит программой Zero Day Initiative (ZDI), являющейся одним из наиболее известных конкурсов по обнаружению уязвимостей в браузерах, однако сравнение ZDI с инициативами Google и Mozilla Амини считает неправомерным: "Мы платим на порядок больше, а на "черном рынке" некоторые уязвимости в браузерах оценивают в 30 тысяч долларов".

Кроме того, внимание TippingPoint сосредоточено на программах, занимающих верхние строчки в рейтинге – Internet Explorer и Firefox, а также в какой-то мере на Safari, так как он является основным браузером для Mac OS, и его уязвимости подрывают безопасность iPhone.

Из восьми уязвимостей Internet Explorer, которые были исправлены в середине прошлого месяца, пять обнаружили сторонние исследователи в рамках программы ZDI. В то же время, Chrome остается для TippingPoint неосвоенной территорией. Руководители компании, которая станет спонсором следующего состязания хакеров Pwn2Own на мартовской конференции CanSecWest, еще не решили, будет ли Chrome присутствовать среди образцов для взлома.

Исследователи, обнаружившие уязвимости в Chrome, смогут обнародовать свои находки после того, как Google выпустит патчи для них, однако в ответ на свой собственный вопрос о том, будут ли оплачены сведения об ошибках, опубликованные до выхода патчей, Эванс лишь сообщает: "Мы поддерживаем ответственное отношение к разглашению сведений".

В случае, если одна и та же ошибка будет найдена несколькими участниками конкурса, награду получит первый, кто сообщил о ней. Выпустив 4 версию браузера Chrome для Windows, Google уже исправила в нем 13 уязвимостей безопасности.