Google looft 1 miljoen dollar uit voor Chrome-exploits

Marco Korthout
29 feb. 2012 2:05

Normaal doet Google altijd mee als sponsor van de pwn2own-wedstrijd op de jaarlijkse CanSecWest-beveiligingsconferentie, maar komt in plaats daarvan nu met 'Chromium Security Rewards'. Google neemt niet meer deel aan de pwn2own-wedstrijd omdat organisator de wedstrijdreglementen heeft aangepast.
Hackers mogen nu alle details van uitgevoerde exploits vrijgeven, maar zijn dat niet meer verplicht zoals in voorgaande jaren.
Google vindt dat onacceptabel.
De reglementen van pwn2own zeggen eigenlijk niets over het overdragen van alle exploits aan de softwaremakers, maar een tweet van Zero Day Initiative (ZDI) zegt:

Voor de duidelijkheid, indien een team 0day aantoont op Pwn2Own 2012, maar niet als winnaar eindigt, is de vuln[nerability] nog steeds van hen en zal niet worden gerapporteerd.

Geen pwn2own dus voor Google dit jaar, maar het Chromium Security Rewards programma, met een totale prijzenpot van 1 miljoen dollar in het verschiet voor hackers die exploits in Chrome vinden.
Chrome bleef altijd als enigste browser overeind de afgelopen jaren, terwijl andere browsers als Internet Explorer, Firefox en Safari vaak de eerste dag al de klos waren. Heeft ook te maken met het "sandboxed" systeem van Chrome, waardoor er meerdere hacks nodig zijn om Chrome te misbruiken.
Slaag je er in om een volledige Chrome exploit uit te voeren met alleen bugs van Chrome zelf op een Windows 7 machine als lokale gebruiker, wordt je beloont met 60.000$
en een chromebook.