29.01.2010 11:55
Google bläst zum Angriff auf Chrome
Google hat ein experimentelles Programm aufgelegt, das externe Sicherheitsforscher animieren soll, nach Lücken im Browser zu suchen und zu melden. In Anlehnung an das bereits 2004 initiierte "Security Bug Bounty Program" der Mozilla-Foundation gibt es für jeden gefundenen Fehler 500 US-Dollar. In Sonderfällen entscheidet ein Gremium, ob die Summe auf 1337 US-Dollar erhöht wird. Das soll allerdings nur der Fall sein, wenn die Lücke besonders kritisch ist oder der Bericht über eine Lücke und wie man sie ausnutzt, besonders ausgefeilt ist.
Grundsätzlich ist es nach Angaben von Google dabei egal, ob man die Lücke in der Open-Source-Version Chromium oder der Binär-Version Chrome findet. Ohnehin unterscheiden sich Chrome und Chromium nur marginal. Chrome enthält zusätzlich den GoogleUpdater sowie den RLZ-Parameter, der bei der Eingabe eines Suchbegriffs in der Adresszeile von Chrome an Google übertragen wird. Für Meldungen über Fehler in Plug-ins anderer Hersteller gibt es jedoch kein Geld.
Google erhofft sich damit, die Sicherheit seines Browsers und damit auch die der Anwender weiter zu verbessern. Gefundene Fehler lassen sich über das Bugtracker-Systeme melden. Weitere Informationen sowie eine Fragen-und-Antworten-Liste hält Google in seiner Ankündigung bereit.
Siehe dazu auch:
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
