36 ezer dollárt ért a Google biztonsági hibája
Egy 18 éves fiatal több mint 36 ezer dollárt kapott a Google-től, amiért egy súlyos sérülékenységet fedezett fel, és azt etikus módon jelezte a fejlesztők számára.Nem egyszer fordult már elő, hogy amikor egy biztonsági kutató egy sérülékenységet feltárt, és jelezte azt az érintett gyártónak, akkor a hibát a gyártó nemes egyszerűséggel "lefokozta", és alacsony kockázatúnak ítélte meg. A Google azonban nem ezt tette, amikor elkezdte vizsgálni a 18 éves, uruguayi fiatalember, Ezequiel Pereira felfedezését.
Pereira a Google Cloudhoz szorosan kapcsolódó Google App Engine esetében fedezett fel biztonsági problémát. Az ifjú hibavadász egy erre a célra kialakított, fejlesztői App Engine környezetben vizsgálódott, és ekkor arra jött rá, hogy bizonyos körülmények között képes hozzáférni a Google egyes belső API-jaihoz.
A kutató a feltárt hibáról már februárban értesítette a Google-t a VRP (Vulnerability Reward Program) program keretein belül. A Google az elemzéseket követően a sérülékenységet P1-es prioritással látta el, ami annyit jelentett, hogy a sebezhetőséget annak veszélyességére való tekintettel azonnal javítani kellett. A frissítések végül március 6-13 között készültek el. Pereira pedig a napokban számolt be a felfedezéséről.
A Google a fiatal szakembert 36.337 dollár jutalomban részesítette, amiért a sérülékenységről a VRP-szabályainak megfelelően számolt be. Emellett jelezte, hogy a magas prioritású besorolást azért kellett alkalmazni, mert a sérülékenység alkalmas volt jogosulatlan távoli kódfuttatásra is, és szélesebb körben okozhatott volna gondokat, ha a javítás előtt kitudódik a létezése.
Pereira nem először kapott jutalmat a Google-től. Már korábban is sikeresen kimutatott biztonsági rendellenességeket a vállalat különféle megoldásaiban, amik révén szintén több ezer dollár ütötte a markát.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.