Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft zgłasza zdalne wykonanie kodu w Chrome i krytykuje Google
Ostatnio załoga ofensywna Microsoftu się rozkręca, ponownie zgłosili do Google zdalne wykonanie kodu w przeglądarce Chrome, otrzymując skromne bounty – $15,837 (które zaokrąglone przez Google do $30 000, zostało przekazane na cele charytatywne).
Microsoft przy okazji wytknął Google-owi luźne podejście do publikacji łat krytycznych błędów (konkretniej – upublicznienie łaty, co dawało około miesiąca czasu na jej analizę i ewentualne wykorzystanie podatności).
For example, this security bug tracker item was also kept private at the time, but the public fix made the vulnerability obvious, especially as it came with a regression test. (…) In this specific case, the stable channel of Chrome remained vulnerable for nearly a month after that commit was pushed to git.
Badacze z Microsoftu, niezbyt pochlebnie wyrażają się również o braku w Chrome kilku mechanizmów chroniących przed exploitami.
Teraz tylko trzeba czekać na kolejne błędy zgłoszone w Edge przez załogę Google – i miejmy nadzieję, że wszyscy na tym skorzystają :-)
–ms
Na początku myślałem że wypłaty za taki bounty to fajny pieniądz ale zestawmy to z zyskami.
Roczny zysk takiego Google to ok 16 mld $, za krytyczny bounty płacą 15 tys $, czyli wspóczynnik wychodzi jak 1/1066666.
To tak jakby np Comarch z zyskami ok 32 mln $, za krytyczną dziurę w swojej aplikacji zapłacił 32000000/1066666 = 30$.
:)
„ale zestawmy to z zyskami”
W jakim celu??
Dobrze, że w ogóle płacą :) parę lat temu to jeszcze można było paragrafem wyrwać ;)
@Marcin miałeś na myśli 30zł, czyli jakieś $8.
A jaki jest roczny zysk z Chrome?
Ale Comarch poda większą kwotę… w pozwie :/