50 duizend dollar voor onderzoeker die ernstige lekken in Chrome vond

11 oktober 2019

Een Chinese beveiligingsonderzoeker heeft 50 duizend dollar ontvangen van Google voor het melden van twee ernstige kwetsbaarheden in de Chrome-browser. Het eerste lek werd medio september gedicht en gisteren is een update uitgebracht die de tweede kwetsbaarheid verhelpt.

Eind augustus meldde Guang Gong van beveiligingsfirma Qihoo 360 een beveiligingslek aan Google. Door enkel een kwaadaardige of bewust gehackte site te bezoeken of een besmette advertentie te bekijken, kon het apparaat van een gebruiker gehackt worden. Google betaalde Gong een onbekend bedrag voor het melden van het 'ernstige' lek en bracht op 10 september de update 77.0.3865 uit. Gebruikers kregen het advies zo snel mogelijk te updaten. Veel pc's doen dat automatisch.

Hele hoge bug bounty
 
Een maand na het verspreiden van de update heeft Google bekendgemaakt welk bedrag beveiligingsonderzoeker Gong kreeg. Met 30 duizend dollar is de beloning bijzonder hoog, wat aangeeft dat het lek inderdaad ernstig was. 

Tweede lek levert ook tienduizenden dollars op

Omdat Gong recent nog een lek in Chrome meldde, krijgt hij daar ook nog eens 20.500 dollar voor. Het totaalbedrag komt hiermee uit op ruim 50 duizend dollar. De tweede kwetsbaarheid gaf een hacker de mogelijkheid om code binnen de context van de browser aan te passen. Zo kon hij websitegegevens veranderen of data uitlezen. Google sprak opnieuw van een serieuze kwetsbaarheid, en betaalde daarom opnieuw een flink bedrag. 

Update Chrome
 
De nieuwste beveiligingsfout is gedicht in Chrome-versie 77.0.3865.120, schrijft onder andere Security.nl. Google geeft opnieuw het advies om de browser zo spoedig mogelijk te updaten. Computers die Chrome zelf updaten, voeren de fix als het goed is snel door. 
 

Meer informatie