Google stresser med Chrome-hull

Google stresser med Chrome-hull

Kjappet seg å tette 11 sikkerhetshull. Timingen er ikke tilfeldig.

Google har lappet 11 sårbarheter i Windows-versjonen av Chrome, inkludert en sårbarhet som resulterte i en belønningssjekk på 1337 dollar til mannen som oppdaget feil. Google premierer nemlig folk som oppdager svakheter i sine applikasjoner i det såkalte ”Bug bounty”- programmet.

I likhet med Apple, som oppdaterte Safari forrige uke, giret også Google opp sikkerheten i nettleseren sin bare dager før hackerkonkurransen Pwn2Own, som arrangeres i regi av den store sikkerhetskonferansen i Canada, Cansecwest, som går av stabelen om få dager.

Oppdateringen til Chrome (4.1.249.1036) tetter seks hull som av Google rangerer som høy risiko. Høy, er det nest mest alvorlige trinnet i Googles firetrinns trusselstige.

Svært kritisk

Den danske sårbarhetsfinneren Secunia, vurderer imidlertid det til ”svært kritisk” å få tettet hullet.

Google skjuler som regel tekniske detaljer rundt de mest alvorlige tilfellene som krever oppdateringer – for å forhindre at noen utnytter svakhetene.

- Vi holder detaljene for oss selv inntil de fleste av våre brukere har blitt oppdatert, forklarer Orit Mazor i blogginnlegg. Mazor er en av personene som jobber med Chrome hos Google.

Det var forskeren Sergey Glazunov som fikk 1.337 dollar av Google for å ha funnet en feil i Webkit. Webkit er nettlesermotoren som driver Chrome samt Safari, og som er basert på åpen kildekode.

Vanligvis betaler Google rundt 500 dollar for feilfinning, men siden Glazunovs oppdagelse var såpass alvorlig fikk han maksbeløpet. Og hvorfor akkurat 1337 dollar?

Leet

Beløpet er en referanse til Leet (kommer fra ordet Elite) som er et nerdete alternativt alfabet som blir brukt på internett. Alfabetet er bygget på symboler fra ASCII (American Standard Code for Information Interchange) i stedet for det latinske. Og beløpet 1337 kommer av at på Leet vil leet inkludere sifrene 1337.

Andre som ble belønnet med dollar for å finne svakheter var Mark Dowd, som er en kjent jeger etter hull i nettlesere og operativsystemer og som jobber på kontrakt for Google. Robert "RSnake" Hansen, administrerende direktør i SecTheory og Aki Helin fra Oulu University Secure Programming Group i Finland – var to andre.

Alt i alt betalte Google ut 3337 dollar belønning for feilene de lappet i forrige uke.

Chrome er den tredje nettleseren som har blitt lappet de siste dagene. 11. mars fant Apple 16 feil i Safari. I tillegg måtte Mozilla nylig ta frem lappesakene for Firefox.

At det er stor fokus på å tette hullene akkurat i disse dager er neppe en tilfeldighet. Chrome, Safari, Explorer og Firefox vil nemlig være i fokus på hackerkonkurransen Pwn2Own hvor det beste ”innbruddet” belønnes med 40.000 dollar.