Эксперты исследовательского центра Positive Research обнаружили и помогли устранить критическую уязвимость на сайте Google. Проделанная работа была отмечена командой Google в рамках Vulnerability Reward Program и вознаграждена премией, полагающейся за нахождение серьезных уязвимостей. Напомним, что Google ранее выплачивала за подобные данные чуть более 3000 долларов, однако пару недель назад подняла размер вознаграждения до 20 000 долларов. Проблема на одном из порталов корпорации, обнаруженная экспертом Positive Technologies Дмитрием Серебрянниковым, позволяла потенциальному злоумышленнику произвести удаленное выполнение команд в целевой системе — например, загрузить и выполнить программы, прочитать и модифицировать файлы, получить данные из СУБД. Примечательно, что уязвимость возникла из-за отсутствия свежих обновлений программного обеспечения третьих сторон, «заплатка» для которого существовала в открытом доступе уже около двух лет, — притом что чаще всего обнаруживаются проблемы, связанные с приложениями собственной разработки. 14.05.2012 http://www.cybersecurity.ru/crypto/150946.html
Google снова платит за обнаруженную уязвимость Не так давно в одном из сервисов корпорации Google была обнаружена уязвимость, позволяющая злоумышленнику произвести удаленное выполнение команд в целевой системе — например, загрузить и выполнить программы, прочитать и модифицировать файлы, получить данные из СУБД. Уязвимость обнаружил эксперт Positive Research Дмитрий Серебрянников, а устранили ее совместными усилиями экспертов исследовательского центра и Google Security Team. Проделанная работа была отмечена командой Google в рамках Vulnerability Reward Program и вознаграждена премией, которая полагается за столь значимые находки. Уязвимость возникла из-за отсутствия свежих обновлений ПО третьих сторон, «заплатка» для которого существует в открытом доступе уже около двух лет, — хотя для Google типичны проблемы, связанные с приложениями собственной разработки. Security Bounty Programs, которые предлагает Google, пользуются, как известно, популярностью среди исследователей благодаря высокому профессионализму команды, разбирающей обращения, а также скорости проверки уязвимостей и простоте получения вознаграждения. Это далеко не единственный пример сотрудничества Positive Technologies и Google. В 2010 году Корпорация Добра уже отмечала заслуги экспертов исследовательского центра Positive Research в своем виртуальном зале славы Security Hall of Fame — в благодарность за помощь в повышении защищенности сервисов компании. 12.05.2012 http://ptresearch-ru.blogspot.com/2012/05/google.html
Российские хакеры продолжают лечить Google Российская компания Positive Technologies обнаружила и помогла устранить критическую уязвимость на сайте Google, в результате чего её занесли в Зал славы по безопасности Google за апрель-июнь 2012 г. Эксперт исследовательского центра Positive Research Дмитрий Серебрянников обнаружил проблему на одном из порталов Google. Уязвимость позволяла потенциальному злоумышленнику произвести удалённое выполнение команд в целевой системе — например, загрузить и выполнить программы, прочитать и модифицировать файлы, получить данные из СУБД. Примечательно, что уязвимость возникла из-за отсутствия свежих обновлений программного обеспечения третьих сторон, «заплатка» для которого существовала в открытом доступе уже около двух лет, — притом что чаще всего обнаруживаются проблемы, связанные с приложениями собственной разработки. Россияне давно прописались в Зале славы Google, во главе с абсолютным рекордсменом программы финансовых поощрений за найденные уязвимости Vulnerability Reward Program — студентом Сергеем Глазуновым из Тюменского государственного университета. По приблизительным подсчётам, он за несколько лет заработал около двухсот тысяч долларов. «Мы с радостью участвуем в различных открытых программах, в любых проектах, позволяющих повысить защищённость интернета, — хотя это и не основной вид нашей деятельности, — сказал руководитель отдела анализа защищенности Positive Technologies Дмитрий Евтеев. — Компания Google — не пионер в этом направлении, но её Security Bounty Programs пользуются популярностью среди исследователей благодаря высокому профессионализму команды, разбирающей обращения, а также скорости проверки уязвимостей и простоте получения вознаграждения». Это далеко не единственный пример плодотворного сотрудничества Positive Technologies и Google. В 2010 году Google уже увековечивал имена экспертов Positive Technologies в виртуальном зале славы в благодарность за помощь в повышении защищённости. Дата: 15.05.2012 http://www.xakep.ru/post/58693/