Ces dernières sont relatives à un dépassement d'entier dans le moteur JavaScript V8, un dépassement d'entier qui désérialise le message sandbox et une erreur de traitement avec la balise ruby. Ce n'est pas forcément très parlant, mais cela tient à la politique de Google qui préfère attendre le déploiement massif d'une mise à jour avant de divulguer de plus amples détails.
Google passe à la caisse
D'autres correctifs intégrés visent à combler trois vulnérabilités pour lesquelles la dangerosité est considérée comme faible ou moyenne. Reste que même avec un risque moyen, une vulnérabilité relative à une confusion de domaine lors du remplissage d'un dialogue d'authentification HTTP vaut à un chercheur en sécurité informatique de Virtual Security Research de recevoir de l'argent de la part de Google.
C'est la première application du programme expérimental que Google a lancé et que nous avons évoqué dans nos colonnes. Pour sa trouvaille, Timothy D. Morgan a reçu 500 dollars. Mais comme il s'est en plus montré généreux en faisant don de cette somme aux opérations de secours en Haïti, Google a augmenté la récompense à 1 337 $ ( le maximum prévu par le programme ).
Avant Google, Mozilla avait déjà mis en place un tel système de récompenses pour les vulnérabilités découvertes par des tiers. Payer pour découvrir des failles, pour Bernard Ourghanlian de Microsoft France : " la sécurité est une école de l'humilité ".
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.