Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Google paie une prime record pour un bug dans Chrome

Edition du 14/01/2011 - par Serge Leblal

Un chercheur en sécurité a reçu la somme record de 3 133 dollars pour la découverte d’un bug critique dans Chrome.

Cette semaine, Google a proposé pas moins de 16 patchs pour remédier à certains problèmes de sécurité découverts dans Chrome 8.0.552.334. Ces failles concernent plusieurs composants avec notamment le gestionnaire d’extensions, le lecteur PDF intégré et le traitement des CSS (feuille de style en cascade). Treize de ces bugs ont été étiquetés comme menaces « élevées » par Google, le deuxième niveau de gravité, deux ont été notés « moyennes ». Un seul a été étiqueté comme « critique ».

Comme il le fait toujours, Google a verrouillé sa base de données de suivi des bogues avant la mise à disposition des patchs. L’éditeur rouvre généralement l’accès un peu plus tard -
parfois quelques semaines, souvent seulement des mois après - pour donner aux utilisateurs le temps de mettre à jour leur navigateur avant que l’information ne devienne publique.

Le chercheur Sergey Glazounov a été récompensé d’une somme de 3 133 dollars après la découverte d’une vulnérabilité critique, décrite par Google comme « un pointeur vicié dans
le contrôle vocal. « Un pointeur vicié » est un bogue qui touche le code d’allocation mémoire d’une application ». Sergey Glazounov a été le premier chercheur à toucher la big prime de Google. « Nous sommes ravis d’offrir notre récompense de sécurité Chrome « élite » de 3 133,7 $ à Sergey Glazounov », a déclaré Jason Kersey, un responsable du navigateur chez Google sur un des blogs de l’éditeur.

Une prime spéciale pour les bugs critiques

Ce mercredi, pour la première fois, Google a donc classé un bug comme critique. Seule la découverte de failles de cette nature peut prétendre à cette prime spéciale de 3 133 $. En juillet dernier, Google avait augmenté le montant de cette prime de 1 337 à 3 133 $, moins d’une semaine après que son rival Mozilla ait porté à 3 000 $ sa prime pour la découverte de bugs critiques.

Au total, l’éditeur a versé 14 000 $ à différents chercheurs, dont 7 470 $ au seul Sergey Glazounov pour la découverte de cinq des seize failles de sécurité dans Chrome. La collection de patchs proposés mercredi est la troisième depuis l’arrivée de la version stable de Chrome 8 début décembre. Selon les statistiques récentes de la société Net Applications, Chrome est désormais utilisé par près de 10% des Internautes dans le monde contre 57,1% pour IE et 22,8% pour Firefox.

La mise à jour de Chrome 8 est automatique si l’agent système de Google n’a pas été désactivé.

Source : lemondeinformatique