Begin maart vindt de traditionele Pwn2Own hackerwedstrijd plaats, waarbij onderzoekers de vier populairste browsers op de pijnbank zullen leggen en daar flinke geldbedragen mee kunnen verdienen. In tegenstelling tot voorgaande jaren doen smartphones niet meer mee. Dit keer draait het alleen om browsers en kunnen onderzoekers meerdere lekken indienen. De hacker die bij elkaar de hoogste score haalt, krijgt de hoofdprijs van 46.000 euro. Voor de tweede plek wacht een geldprijs van 23.000 euro, terwijl de nummer drie er met 11.500 euro vandoor gaat.
In het geval van Google Chrome betaalt de zoekgigant beveiligingsonderzoekers voor elk gerapporteerd lek waarmee uit de sandbox-beveiliging wordt gebroken 15.000 euro. In het geval er lekken in Chrome en het besturingssysteem worden gebruikt om willekeurige code buiten de sandbox uit te voeren, betaalt Google 7.500 euro. De onderzoeker die de competitie via een lek in Google Chrome wint kan minimaal zo'n 60.000 euro verwachten, maar het totale bedrag is onbeperkt, aangezien Google geen limiet stelt aan het aantal ingediende lekken. Voor elke kwetsbaarheid zal de zoekgigant 10.000 of 7.500 euro betalen.
Beloning
Adobe Reader of Flash Player plugins doen niet mee. "Anders hadden we de ""Flash pwn" klasse van 4.000 euro kunnen sponsoren", grapt Chris Evans, hoofd van het Google Security Team. Sommige onderzoekers vinden de beloning aan de lage kant. "Chrome hacken door ASLR en DEP te omzeilen, plus een Windows-kernel lek om de sandbox te omzeilen en dat voor 7.500 euro? We leven niet in dezelfde wereld", zegt Chaouki Bekrar van het Franse beveiligingsbedrijf VUPEN.
Evans merkt op dat de beloning in dit geval waarschijnlijk eerder 60.000 euro zal zijn, omdat zo'n lek een goede kans maakt om de hackerwedstrijd te winnen. De Fransman is toch niet overtuigd. "Het grootste probleem met de nieuwe Pwn2Own-regels is dat je een 0-day lek kan indienen, zonder dat je de wedstrijd wint." De Pwn2Own competitie duurt van 7 t/m 9 maart en heeft als doelwit Firefox, Safari, Internet Explorer en Google Chrome op een volledige gepatchte Windows 7 of Lion installatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.