Главная » Новости

Google заплатит за уязвимости в Android

Александр Панасенко 17 Июня 2015 - 10:47
...

Еще одна программа выплаты вознаграждений за уязвимости стартовала сегодня. Google предложила энтузиастам поискать баги в Android ОС, объявив о старте Android Security Rewards. Программа распространяется на баги, не подпадающие под действие других программ вознаграждения Google.

Пока Android Security Rewards распространяется только на устройства Nexus, которые находятся или находились в официальной продаже на момент отправки сообщения об уязвимости. То есть пока актуальны только смартфон Nexus 6 и планшет Nexus 9. Поучаствовать может каждый, исключение составляют только жители регионов и стран, находящихся под официальными санкциями США. В этот список входят Крым, Куба, Иран, Северная Корея, Судан и Сирия, пишет xakep.ru.

Размер вознаграждения напрямую зависит как от критичности найденной проблемы, так и от подачи информации о ней. Уязвимости стандартно делятся на три группы: критические ($2000), серьезные ($1000) и умеренные ($500). Но если к багрепорту будут приложены подробности, например, подробное описание тестового кейса, Google добавит множитель 1.5x к стандартной сумме вознаграждения. Как наглядно демонстрирует таблица ниже, чем больше подробностей, доказательств, тестов и патчей будет прислано, тем лучше.

Серьезность Баг Тестовый кейс CTS / патч CTS+Патч
Критическая $2,000 $3,000 $4,000 $8,000
Серьезная $1,000 $1,500 $2,000 $4,000
Умеренная $500 $750 $1,000 $2,000
Низкая $0 $333 $500 $1,000
Следующая главная новость »
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Три DoS-уязвимости затрагивают ядра Linux и FreeBSD
Олег Иванов 18 Июня 2019 - 13:08
Linux Уязвимости программ Домашние пользователи
Три DoS-уязвимости затрагивают ядра Linux и FreeBSD

Джонатан Луни, эксперт в области безопасности из Netflix, обнаружил несколько уязвимостей в системах FreeBSD и Linux. В случае успешной эксплуатации эти бреши могут привести к DoS.

Всего проблем безопасности три, две из которых затрагивают параметр протокола TCP MSS (Maximum segment size) и TCP Selective Acknowledgement (SACK), а еще одна — только MSS.

Самая опасная из этих уязвимостей отслеживается под именем SACK Panic. Используя ее, атакующий может инициировать DoS и перезагрузить уязвимую систему. Эта проблема безопасности актуальна для последних версий ядра Linux.

«Эксперт Netflix обнаружил несколько уязвимостей в ядрах FreeBSD и Linux. Самая опасная из дыр — SACK Panic — может привести к удаленному выведению из строя последних версий ядра Linux», — говорится в отчете Луни.

SACK Panic также известна под идентификатором CVE-2019-11477, она получила 7,5 баллов по шкале CVSS3.

Уязвимые к SACK Panic версии ядра Linux начинаются с 2.6.29. Для устранения этой проблемы потребуется установить два патча: PATCH_net_1_4.patch и PATCH_net_1a.patch.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Tesla предупредила сотрудников о последствиях утечек информации
Новость
Tesla предупредила сотрудников о последствиях утечек информа...
Уязвимость в Evernote для macOS позволяет выполнить произвольный код
Новость
Уязвимость в Evernote для macOS позволяет выполнить произвол...
Незащищенные базы сливали данные 60 млн пользователей LinkedIn
Новость
Незащищенные базы сливали данные 60 млн пользователей Linked...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2019. Все права защищены.

Рейтинг@Mail.ru