Google patcht recent Chrome-lek in tien uur tijd

Tien uur nadat tijdens een wedstrijd op de Hack in the Box-beveiligingsconferentie in Maleisië een beveiligingsprobleem werd ontdekt, heeft Google een patch doorgevoerd. Het internetbedrijf had de wedstrijd zelf georganiseerd.

Beveiligingsonderzoeker Pinkie Pie was de enige die deelnam aan een wedstrijd die Google organiseerde tijdens de Hack in the Box-beveiligingsconferentie. Tien uur nadat de kwetsbaarheid was ontdekt, had Google al een update klaarstaan, die momenteel wordt uitgerold via het automatische updatesysteem van Google Chrome.

Technische details over de kwetsbaarheid die Pinkie Pie vond, worden later pas vrijgegeven, als genoeg gebruikers hun Chrome-installatie hebben bijgewerkt. Duidelijk is wel dat de exploit leunt op twee bugs: een in de manier waarop WebKit omgaat met svg-afbeeldingen en een andere bug in de ipc-laag van Chrome, die het mogelijk maakte om uit de sandbox van Chrome te breken.

Ontdekker Pinkie Pie, wiens identiteit niet bekend is, krijgt een beloning van 60.000 dollar voor het vinden van de kwetsbaarheid. In maart streek hij hetzelfde bedrag op tijdens het vinden van drie kwetsbaarheden in Google Chrome tijdens de Canadese Pwn2Own-competitie.

Reacties (81)

Anoniem: 120539 11 oktober 2012 12:52

Het hele idee van het gebruik van Sandboxes door de verschillende webbrowsers was juist om zo goed als uit te sluiten dat processen in de browser het host-systeem konden raken. Gezien het aantal lekken dat er in de afgelopen jaren is ontdekt (voor elk van deze browsers) is een sandbox kennelijk ook maar relatief.

Niemand_Anders

Beveiliging

@Anoniem: 120539 • 11 oktober 2012 13:13

Daarom moest Pinky ook twee bugs gebruiken voor de exploit. De eerste was een bug in een plugin. Plugins, extensies en javascipt draaien in de sandbox, de browser zelf draait onder een bepaald user account.

Naast de svg plugin bug, had hij ook een exploit nodig in de IPC service. Het is de combinatie welke het beveiligings gat vormt, heb je slechts een van de bugs, dan heb je er dus weinig aan. Geinjecteerde code via svg wordt dan tegengehouden door de sandbox, of je hebt wel de sandbox bug, maar heb dan geen methode om code te injecteren welke buiten de sandbox te komen.

Sandboxes voorkomen geen beveiligsgaten net zoals een firewall niet voorkomt dat je server gehacked kan worden. Beide voegen wel een extra beveiligslaag toe waardoor de kans op een beveiligings gat wordt verminderd..

Een supergoed 10-sterren slot op de deur voorkomt ook niet dat een inbreker binnenkomt door een raampje in te slaan. Echter met een goed slot is de kans op inbraak wel een stuk lager..

GamingZeUs @Niemand_Anders • 11 oktober 2012 15:01

Enige verschil is dat een sandbox wel bewezen veilig zou kunnen zijn, terwijl een firewall met policies te maken heeft die mogelijkerwijs niet perfect kunnen zijn.

En een 10-sterren slot? Dat is een wanvergelijking. Een slot kan bewezen veilig zijn tegen een bepaalde aanval, dat wel. Maar anders dan sloten is het bij software mogelijk om te doen wat de bedoeling is, en niets en nada meer.

Joeri.Bijlsma 11 oktober 2012 12:05

das pas geld verdienen

goed van google dat ze zo snel zijn met patchen ten opzichte van andere bedrijven *java kuch*

spoonman @Joeri.Bijlsma • 11 oktober 2012 12:16

Lijkt me niet zo raar eigenlijk. Ze organiseren zelf die wedstrijd met de bedoeling om lekken te vinden, zou raar zijn als ze die lekken dan weken open laten.

BRAINLESS01 @spoonman • 11 oktober 2012 12:19

Maar er zit een groot verschil tussen een lek weken open laten en een lek binnen 10 uur oplossen. Dat de oplossing zo snel beschikbaar is betekent dat de ontwikkelaars stand-by stonden en meteen met de bug bezig zijn gegaan. Ze hadden er ook voor kunnen kiezen om hem hoge prioriteit te geven en ergens deze week een keer op te pakken.

roy-t @BRAINLESS01 • 11 oktober 2012 13:55

Dit is natuurlijk helemaal niet eerlijk. Ze kregen nu exact de code van de exploit + test case. Als het een implementatie fout is en niet een algoritme fout dan is het daarna meestal niet meer dan naar de goede regel scrollen en kijken wat er fout is.

Normaal weet je alleen dat er een lek in (een deel van) je programma zit en dan moet je het dichten, dat is natuurlijk veel lastiger.

Dus fijn dat ze het even snel oppakten, maar het is niet eerlijk om dan naar andere bedrijven te wijzen en te zeggen 'oh die laat een lek soms wel 2 weken ongedicht'.

Darkraver8 @roy-t • 11 oktober 2012 17:07

Ik snap niet wat hier niet eerlijk aan is.

Sommige bedrijven lijken er een sport van te maken om hun lekken niet openbaar te maken.

Google daagt mensen juist uit, en op deze manier levert het ook geld en eer op een eerlijke manier op. Dit is DE strategie om efficient lekken te dichten, en je wordt er niet eens op afgerekend.

Hopelijk organiseren snel meer grote bedrijven zulke events.

Anoniem: 256490 @roy-t • 11 oktober 2012 16:42

Daarom organiseren ze dus die wedstrijd.

En veel bedrijven *kuch M$* laten lekken veel langer dicht, soms wel jaren. Soms wordt er gewoon gezegd dat fixen meer kost dan laten zitten. EA is er ook heel goed in om leuke games met volledig onspeelbare netwerktechnologie te laten rotten, Generals is een van de vele voorbeelden.

Wel vreemd dat er maar 1 iemand meedeed...

[Reactie gewijzigd door Anoniem: 256490 op 24 juli 2024 21:36]

mjtdevries @BRAINLESS01 • 11 oktober 2012 14:16

Dat de oplossing zo snel beschikbaar is betekent dat de ontwikkelaars stand-by stonden en meteen met de bug bezig zijn gegaan. Ze hadden er ook voor kunnen kiezen om hem hoge prioriteit te geven en ergens deze week een keer op te pakken.

Pfff... hallo zeg.

Als je zelf zo'n wedstrijd organiseerd dan zorg je er uiteraard voor dat je beste ontwikkelaars dan die dagen gereserveerd hebben om full time te werken aan de bugs die bij die wedstrijd gevonden worden.
Niemand is zo ongelooflijk stom om dat niet te doen.

De meeste bugs worden waarschijnlijk in zo'n tijdsframe opgelost, maar dan duurt het gewoon langer voordat ze er aan kunnen beginnen, omdat ze eerst nog andere werkzaamheden hebben.

[Reactie gewijzigd door mjtdevries op 24 juli 2024 21:36]

robinverl @BRAINLESS01 • 11 oktober 2012 12:57

Complimenten voor Google dus, er zijn helaas genoeg bedrijven die dat niet zo oppakken.

NmS @robinverl • 11 oktober 2012 13:17

Het zou ook een marketing stunt kunnen zijn van Google. Ze hebben immers de wedstrijd zelf georganiseerd. Het zou me dan ook niks verbazen dat Google al vooraf van het bestaan van het lek wist en deze wedstrijd gebruikte om zo het vertrouwen in Google te vergroten.

Niet alles is altijd wat het lijkt. Je ziet dit overal gebeuren. Modellen die gephotoshopped zijn, acteurs die in reality programma's spelen, fabrikanten die producten mooier en beter doen overkomen dan ze eigenlijk zijn, sporters die aan de doping zitten, etc. Alles om maar beter over te komen.

Maar nogmaals, het zou kunnen.

Menesis @NmS • 11 oktober 2012 13:36

Natuurlijk is het deels een marketingstunt! Maar er zitten ook andere voordelen aan voor Google natuurlijk.

Grrrrrene

@NmS • 11 oktober 2012 17:02

Zo kun je alles het negatieve intrekken. Google heeft deze bug ook alleen gefixt om vertrouwen en goodwill te kweken onder z'n gebruikers. Het is een grote marketingstunt om lekken snel te dichten

Ik vind het (hoewel ik de omvang van het werk eerlijk gezegd niet kan inschatten) best netjes dat ze in pakweg 1 werkdag een gat dichten in hun browser

Sibert @NmS • 11 oktober 2012 18:48

Ik denk van niet, aangezien dit soort nieuws het grote publiek niet bereikt en binnen de tech-community blijft, dan is het niet de moeite om daar zoveel geld in te pompen.

Vayra @BRAINLESS01 • 16 oktober 2012 14:06

Kom OP jongens, dit is wel een heel erg doorzichtig 'Wij van WC eend' Verhaal of niet soms???

Google houdt een wedstrijd. Over de browser van Google. Google weet dat er een team nodig is om een eventueel gevonden lek te verhelpen.

Het zou een gigantische imago blunder zijn als ze dit niet binnen een dag hadden opgelost! Natuurlijk is dit een marketing stunt.

Ceejay @spoonman • 11 oktober 2012 18:06

Maar das wel gebeurd natuurlijk. Die Pinkie Pie heeft in zijn eigen tijd een lek gevonden, zit daar vervolgens weken of maanden op tot ie kan cashen, die is ook niet gek.

Je kunt je afvragen of anderen niet ook al enige tijd actief gebruik maken van die 2 bugs. Maar goed Google kan mooie sier spelen met het feit dat ze het zo snel patchen. hahaha.

BeosBeing @Ceejay • 11 oktober 2012 19:31

Beter zo als dat hij de bugs verkoopt aan overheidsdiensten of andere criminelen. Als je ieder jaar 2 keer zo'n bedrag krijgt voor een bug dan lijkt het me genoeg om redelijk van te kunnen leven. Alles wat je meer vindt of er nog bij doet (bv een reguliere baan) is dan extra.

Sneu @BeosBeing • 11 oktober 2012 20:11

Waaruit blijkt dat hij dat niet ook heeft gedaan? Financieel gezien is het rendement hoger als je 2x kunt cashen voor dezelfde vondst

biglia @spoonman • 11 oktober 2012 13:04

Het is goed mogelijk dat ze al op de hoogte waren van de lek nog voor deze werd aangekondigd op hun eigen wedstrijd. Ze zullen toch ook wel screenen wat ze allemaal gaan tonen op zo'n evenement.

basset @Joeri.Bijlsma • 11 oktober 2012 13:14

veel erger: (oracle)

PdeBie 11 oktober 2012 12:06

dat zijn nog eens leuke beloningen. Of dit in wedstrijd vorm moet vind ik wel wat raar, maar beter dat het op deze manier ontdekt word dan door iemand die kwaad wilt.

brabbelaar @PdeBie • 11 oktober 2012 13:11

Natuurlijk in wedstrijdvorm! Het voert de tijdsdruk op, je kunt veel meer mensen aan het werk zetten en je weet zeker dat je alleen de talenten betaalt.

[Remmes] @brabbelaar • 11 oktober 2012 14:31

Vandaar dat er maar een persoon mee deed

Haribo112 @PdeBie • 11 oktober 2012 12:09

Wellicht hadden kwaadwillenden het allang ontdekt maar was het nog niet opgevallen bij de Google. Nu is het in ieder geval dicht, en die 60.000 euro daarvoor is echt een schijntje voor Google.

TheCapK @PdeBie • 11 oktober 2012 12:21

Juist door het in wedstrijdvorm te gieten met een beloning ertegenover motiveer je mensen meer om hier actief naar te gaan zoeken. Als je ziet dat pinkie pie dit jaar dus al 120.000 dollar heeft opgestreken dan is dat ook voor hem/haar een lucratieve tijdsbesteding is bovenop zijn/haar gewone werk.

yeadder 11 oktober 2012 12:15

Goed om te lezen dat Google wel de juiste prioriteiten stelt. Die korte doorlooptijd zal voor de meeste software bedrijven geen enkel probleem zijn.

aap @yeadder • 11 oktober 2012 12:42

Dat waag ik te betwijfelen. Bij het bedrijf waar ik werk, kost de meest triviale patch al tenminste twee weken, vooral vanwege de bureaucratie eromheen, maar ook omdat er veel getest moet worden voordat een patch gereleased mag worden.

Zeker voor een product als Chrome met miljoenen (miljarden?) gebruikers over de hele wereld, vind ik het behoorlijk knap dat ze binnen tien uur een patch kunnen uitbrengen die ze wereldwijd durven uit te rollen.

Dus of Google is extreem efficiënt in haar ontwikkelproces of het risico van het lek was zo ernstig, dat dat het risico op bugs in de patch oversteeg.

Anoniem: 175233 @aap • 11 oktober 2012 14:58

Als je binnen tien uur een patch uitbrengt, dan betekent dat gewoon dat die niet uitvoerig getest is. Dat kan simpelweg niet in zo'n korte tijd. Dit is dus wat bij andere bedrijven een hot-fix genoemd wordt. Een minimaal geteste patch.

Leuke marketing dus, maar simpelweg niet vergelijkbaar met de normale patches bij andere bedrijven.

Propheticus @Anoniem: 175233 • 11 oktober 2012 16:21

Hangt natuurlijk wel af van de schaal van de impact van de patch. Als een probleem weinig complex is (fout in 1 of paar regels code) en verder weinig impact heeft op andere onderdelen lijkt me dit vrij veilig.
Als je logischerwijs kunt redeneren dat je aanpassing geen invloed zal hebben op de werking van de rest van het programma, hoef je toch niet weer het héle programma uitvoerig te testen?
Deze 'voorspelbaarheid' en afbakening is juist waarom een goede programmeur altijd streeft naar zo min mogelijk dependencies tussen classes. Zo voorkom je dat een aanpassing in één deel van je programma onvoorziene gevolgen heeft in andere delen.

Als de fout complexer is, geef ik je echter gelijk. Er is nogal een verschil in typo's fixen of de werking aanpassen en dus de hele functie/klasse moeten herschrijven. In dat laatste geval is het natuurlijk lastiger te voorspellen of de nieuwe oplossing niet op zijn beurt andere kwetsbaarheden introduceert.

yeadder @aap • 11 oktober 2012 12:59

Toegegeven, we kunnen natuurlijk nooit bij Google binnen kijken hoe efficiënt de processen daar zijn. Ook weten we niet precies of de patch nieuwe bugs introduceert.

Maar als we naar onze eigen processen kijken kunnen we wel zien of er veel wachttijd is, veel overbodige activiteiten (zoals bureaucratie) zijn en mogelijk heeft men ook andere zaken naast een bug lopen.

Mogelijk zijn dit zaken waar men bij Google en andere grote software bedrijven minder last van heeft. Wat niet wegneemt dat het ook voor zelfs de kleinste software bedrijven meer dan wenselijk is om processen te ontdoen van wachttijden en overbodige activiteiten.

Een voorbeeld van het optimaliseren van ontwikkel processen is bijvoorbeeld scrum http://tweakers.net/plan/...t-round-up-juli-2011.html

Anoniem: 476843 11 oktober 2012 12:05

Beveiligingsonderzoeker Pinkie Pie was de enige die deelnam aan een wedstrijd die Google organiseerde tijdens de Hack in the Box-beveiligingsconferentie.

Dat is wel relaxt, dan win je altijd.

Nactive @Anoniem: 476843 • 11 oktober 2012 12:08

Ik denk dat voor te winnen je gewoon een werkende exploit moet hebben.

Indien er 5 man is met een werkende exploit winnen ze alle vijf.

Ale, schiet me niet af als ik verkeerd ben, maar dacht toch dat ze zo werkte :-).

PdeBie @Anoniem: 476843 • 11 oktober 2012 12:06

moet je wel een lek vinden

Anoniem: 118226 @PdeBie • 11 oktober 2012 12:22

moet je wel een lek vinden

Ik denk dat ie al wat had, anders had ook hij niet meegedaan. Hij zal echt niet van scratch af bij het begin van de wedstrijd begonnen zijn met zoeken naar een lek.

Op zich is het wel een opsteker voor Google dat slechts 1 deelnemer iets had om aan de wegstrijd deel te nemen. (Alhoewel, ik bedenk me dat bij andere wedstrijden waar browsers en OSsen gekraakt mogen worden ook het aantal deelnemers op de vingers van 1 hand te tellen zijn)

Anoniem: 174991 @Anoniem: 118226 • 11 oktober 2012 13:10

Je hebt natuurlijk helemaal gelijk. Hij had al zijn tools al klaar, zo ging het de voorgaande keren ook.

De manier waarop de vorige hacks werden geplaatst er erg goed omschreven door Google. Er waren toen 5 tot 10 bugs achter elkaar nodig om volledig door de beveiliging te komen.

Deze was dus relatief makkelijker. Ik denk dat deze hacker ook nog niet klaar is met zijn kunstjes. Eigenlijk zou ieder project een hacker van dit niveau moeten hebben. Google zal de hoofdprijs lachend betaald hebben.

Als de lezers hier nu denken dat Chrome slecht in elkaar zit, nodig ik ze uit de blog posts van Google eens goed door te nemen en vervolgens te zeggen dat ze dit ook hadden kunnen klaarspelen.

Iblies @PdeBie • 11 oktober 2012 16:11

Kan ook gewoon een kostenoverweging zijn geweest. Hoeveel krijg je met een dergelijke hack aan te reiken, en hoeveel kun je verdienen door het te exploiteren. Stel je voor dat chrome redelijk is dichtgetimmerd, dan worden de exploits die niet bekend zijn veel meer waard.

AllSeeyinEye @Anoniem: 476843 • 11 oktober 2012 12:07

Je moet wel iets vinden. En het verhaal vertelt niet waar Pinkie Pie woont, maar de reis zal ook niet gratis zijn.

etaoin @AllSeeyinEye • 11 oktober 2012 12:18

Pinkie Pie woont in Ponyville

Wat zou de reden zijn dat een beveiligingsexpert anoniem wil blijven? Zo krijg je toch nooit opdrachten? Bij hackers kan ik me iets voorstellen bij schuilnamen, maar als expert wil je ingehuurd worden en als expert bekend raken. Dat lukt niet echt als je jezelf vernoemt naar een roze pony...

aap @etaoin • 11 oktober 2012 12:36

Misschien heeft hij klanten of werkt hij bij een bedrijf waar men het onwenselijk vindt dat iemand die beveiligingsexpert is, in zijn vrije tijd ook hacker is?

Net zoals dat je niet snel aangenomen zult worden als bewaker als bekend is dat je hobby inbreken is.

Adion

@aap • 11 oktober 2012 12:53

Er staat echter niet of hij ook een hacker is, enkel dat hij een beveiligingsonderzoeker is. En van elke (goede) beveiligingsonderzoeker kan je eigenlijk wel verwachten dat die lekken kan vinden en dus eventueel ook misbruiken.

De vergelijking met de bewaker gaat niet helemaal op omdat een bewaker in principe geen kennis moet hebben van sloten. Ben je echter op zoek naar iemand die wil controleren of de sloten die je gebruikt wel veilig zijn, zul je toch uitkomen bij iemand die wel kennis over sloten heeft en vermoedelijk ook de mogelijkheid om (slechte) sloten open te krijgen.

[Reactie gewijzigd door Adion op 24 juli 2024 21:36]

harrydg @etaoin • 11 oktober 2012 12:29

waarom? ik heb jaren lang bij de overheid gewerkt aan de sociale zekerheidsdienst van Belgie. Daarvoor systeembeheerder aan de universiteit van Leuven. Ik wil eens zien hoe "blij" de mensen zijn als ik met mijn echte naam security van alle mogelijke systems omzeil. Mijn baas zal blij zijn:
Meester hacker harry werkt bij ons en kan aan al jullie financiele gegevens... van iedere belg die ooit in belgie gewerkt heeft!!! (hypothetisch, he

)

hah!! zonder pseudoniem zou ik rap buiten gevlogen zijn. SOMMIGE mensen willen bekendheid verkrijgen... anderen willen gewoon hacken omdat het plezant is om te doen en de wereld te verbeteren (en ja... sommigen ook verslechteren)

menke @etaoin • 11 oktober 2012 13:13

Waarom een baan als je 120k per jaar kunt verdienen met hack wedstrijden?

watercoolertje

Google
Google Chrome

@etaoin • 11 oktober 2012 12:33

Bij hackers kan ik me iets voorstellen bij schuilnamen, maar als expert wil je ingehuurd worden en als expert bekend raken.

Jij weet dat hij opzoek is naar werk? Vertel wat weet je nog meer over (de hacker) pinky pie...

Anoniem: 174991 @watercoolertje • 11 oktober 2012 13:16

A teenage hacker who goes by the "Pinkie Pie" handle has hacked into Google Chrome using three distinct zero-day vulnerabilities to evade the browser's protective sandbox.

The exploit was used as part of Google's Pwnium hacker contest and earned the researcher the maximum $60,000 cash prize.

"Pinkie Pie," who asked to remain anonymous because he had not been authorized by his employer to participate in the contest, said he chained three different vulnerabilities to build an exploit to escape the Chrome sandbox.

(...)
While "Pinkie Pie" was previously unknown to onlookers here, Googlers described him as a "known and respected security researcher."
In an interview after successfully launching the drive-by download exploit, Pinkie Pie said he worked for about one-and-a-half weeks to find the vulnerabilities and write a reliable exploit.

Eerst naar Google grijpen en dan pas oeverloos zwetsen. Bron kun je er zelf bij zoeken.

Anoniem: 119473 @etaoin • 11 oktober 2012 12:36

"De hack was onderdeel van de door Google opgezette Pwnium-wedstrijd en werd uitgevoerd door een hacker die zich 'Pinkie Pie' noemt. De tiener wil bewust anoniem blijven, aangezien hij van zijn werkgever geen toestemming had gekregen om aan de wedstrijd deel te nemen. "

Bron: http://www.security.nl/ar...rome_via_3_zero-days.html

Ik neem aan dat Google wel weet wie hij is, misschien krijgt hij daar nog wel een contract aangeboden ook...

Proxx @AllSeeyinEye • 11 oktober 2012 12:13

de reis zal geen 60 duizend euro gekost hebben

kristofb @Anoniem: 476843 • 11 oktober 2012 12:06

Moet je natuurlijk nog wel eerst een lek vinden

mat.hi.as @Anoniem: 476843 • 11 oktober 2012 12:07

Ik denk wel dat hij (of zij

) een beveiligingsrisico moet aantonen, dat dan pas het geld op tafel wordt gezet.

Zouden ze hem trouwens bij Google niet gewoon aan kunnen nemen? Al verdiend hij op deze manier wel meer dan met een vast contract...

jordeeeh @Anoniem: 476843 • 11 oktober 2012 12:07

Moet je wel eerst een exploit kunnen aantonen.

Dakreal @Anoniem: 476843 • 11 oktober 2012 12:07

Nee, das natuurlijk onzin he.

Je wint pas als je een bug ontdekt heb. Als je dus geen bugs vind win je niets. Als er 10 mensen zijn die mee doen, en die vinden allemaal een andere bug, krijgen alle 10 de mensen de beloning.

Dmitrov @Anoniem: 476843 • 11 oktober 2012 12:08

Niet echt wanneer je niets vindt, win je ook niets. Dit zijn zot getalenteerde mensen die echte geniën zijn in hun doelgebied dus je moet ze ook niet onderschatten, als hij maar 1 fout vindt en niemand anders dan weet je wel hoe uitzonderlijk het is.

k4kl44s @Anoniem: 476843 • 11 oktober 2012 12:09

Wellicht ten overvloede, maar je moet natuurlijk wel een lek kunnen vinden!!

Morphs 11 oktober 2012 12:13

Dit zijn de betere deals.... vooral voor het bedrijf. Als er geen hacks gevonden worden kost het google niks, en 60000 voor een bug is niks vergeleken met de mogelijke kosten wanneer zo'n bug op kwaadaardige wijze aan het daglicht wordt gebracht.

Het is vergelijkbaar met een bedrijf dat een nieuwe slogan wil. Gewoon een prijsvraag houden. Je krijgt ladingen suggesties en in ruil betaal je alleen de winnaar.

mat.hi.as @Morphs • 11 oktober 2012 12:33

Het kost Google geen geld als er een bug wordt geexploiteerd. Enkel en alleen als het een dusdanig grote bug is dat het breed wordt uitgemeten in de media, krijgen ze negatieve publiciteit met mogelijke indirecte kosten.

Douweegbertje 11 oktober 2012 12:21

Google beloond al jaren "hackers".
Afhankelijk van de aard / grootte van de bug / exploit beloond men redelijk ruime bedragen.
Het gaat hier dan om bedragen van ~200 tot 20000 dollar.
Nu maken ze een bepaald evenement wat meer belangstelling moet trekken, dus grotere bedragen.. Maar verder dan dat is er niets nieuws aan!

http://www.google.com/about/appsecurity/reward-program/

MikeVM @Douweegbertje • 11 oktober 2012 13:05

maar goed, want die exploits en bugs zijn op de zwarte markt ook veel geld waard lijkt me.

CrashOne 11 oktober 2012 12:22

Makkelijk geld verdienen: volgens mij wordt er vergeten hoeveel talent, tijd en energie je hierin moet steken om uberhaupt dit soort dingen te kunnen. Daarnaast is Pinkie Pie nog een tiener, bijzonder knap als je het mij vraagt.

Douweegbertje @CrashOne • 11 oktober 2012 15:22

Want?
- mysql en PHP komen uit '95.
- jongeren leren nou eenmaal sneller / beter
- jongeren komen direct in aanraking met "de techniek van tegenwoordig".

Het zou juist bijzonder knap zijn als een persoon van 65 jaar dit zou kunnen.

Verder wel eens met je bovenste zin, dat je dit zo niet 123 lukt.

EgMaf 11 oktober 2012 12:31

Met zulke prijzen zou ik exploits verborgen houden tot de volgende wedstrijd.
En als ik er meerdere weet, kan ik meerdere wedstrijden ermee winnen

Kortom: Het klinkt leuk zo'n wedstrijd, maar ik vraag me af of het niet averechts werkt.

Rmg @EgMaf • 11 oktober 2012 12:58

Met het risico dat iemand anders hem eerder indient voor een kleinere reward bij het appsec program

Of dat google devs hem zelf fixen in een versie voor de wedstrijd

Meijuh 11 oktober 2012 12:15

Ha, ik vraag me af of dan ook de buildservers bij google in die 10 uur alle unit tests hebben kunnen uitvoeren.

Op dit item kan niet meer gereageerd worden.

Google patcht recent Chrome-lek in tien uur tijd

Lees meer

Reacties (81)

Sorteer op:

Weergave: