Fandt kritiske sårbarheder i Google Chrome: Nu vælter han sig i dusør-penge

Google klar med ny Chrome-browser, hvor en række sårbarheder rettes. Dusør-jæger forgyldes for at have spottet kritiske huller i browseren.

31. maj 2016 kl. 11.59

(Foto: Povl D. Rasmussen)

Kim Stensdal Teknologiredaktør

Twitter
@kimstensdal

30.000 dollar - eller hvad der svarer til lige knap 200.000 danske kroner.

Det er, hvad en sikkerheds-ekspert ved navn Mariusz Mlynski nu indkasserer for at have fundet og dokumenteret fire sårbarheder i verdens mest populære browser, Google Chrome.

Det fremgår af Googles liste med rettelser til Chrome-browseren, der netop er frigivet i version 51 til Windows, Mac og Linux.

På listen med de sårbarheder, der tages hånd om, kan man også se, hvem der opdagede og dokumenterede sårbarhederne.

Mariusz Mlynski, der ifølge sikkerhedssitet Threatpost kommer fra Polen, står bag de fire øverste af de ialt 42 sårbarheder.

Hver af de fire sårbarheder indbringer ham 7.500 dollar i dusør.

De er da også alle markeret som sårbarheder, der udgør en "høj" risiko, fremgår det af Googles overblik, hvor man kan se, at der ialt er udbetalt dusører for 65.500 dollar, omkring 429.000 kroner.

Du får opdateringerne ved at genstarte Chrome-browseren.

Her er sårbarhederne

Her er listen med sårbarheder, der er lukket i den nye Chrome-browser - den bærer versionsnummer 51.0.2704.63:

[$7500][590118] High CVE-2016-1672: Cross-origin bypass in extension bindings. Credit to Mariusz Mlynski.
[$7500][597532] High CVE-2016-1673: Cross-origin bypass in Blink. Credit to Mariusz Mlynski.
[$7500][598165] High CVE-2016-1674: Cross-origin bypass in extensions. Credit to Mariusz Mlynski.
[$7500][600182] High CVE-2016-1675: Cross-origin bypass in Blink. Credit to Mariusz Mlynski.
[$7500][604901] High CVE-2016-1676: Cross-origin bypass in extension bindings. Credit to Rob Wu.
[$4000][602970] Medium CVE-2016-1677: Type confusion in V8. Credit to Guang Gong of Qihoo 360.
[$3500][595259] High CVE-2016-1678: Heap overflow in V8. Credit to Christian Holler.
[$3500][606390] High CVE-2016-1679: Heap use-after-free in V8 bindings. Credit to Rob Wu.
[$3000][589848] High CVE-2016-1680: Heap use-after-free in Skia. Credit to Atte Kettunen of OUSPG.
[$3000][613160] High CVE-2016-1681: Heap overflow in PDFium. Credit to Aleksandar Nikolic of Cisco Talos.
[$1000][579801] Medium CVE-2016-1682: CSP bypass for ServiceWorker. Credit to KingstonTime.
[$1000][583156] Medium CVE-2016-1683: Out-of-bounds access in libxslt. Credit to Nicolas Gregoire.
[$1000][583171] Medium CVE-2016-1684: Integer overflow in libxslt. Credit to Nicolas Gregoire.
[$1000][601362] Medium CVE-2016-1685: Out-of-bounds read in PDFium. Credit to Ke Liu of Tencent's Xuanwu LAB.
[$1000][603518] Medium CVE-2016-1686: Out-of-bounds read in PDFium. Credit to Ke Liu of Tencent's Xuanwu LAB.
[$1000][603748] Medium CVE-2016-1687: Information leak in extensions. Credit to Rob Wu.
[$1000][604897] Medium CVE-2016-1688: Out-of-bounds read in V8. Credit to Max Korenko.
[$1000][606185] Medium CVE-2016-1689: Heap buffer overflow in media. Credit to Atte Kettunen of OUSPG.
[$1000][608100] Medium CVE-2016-1690: Heap use-after-free in Autofill. Credit to Rob Wu.
[$500][597926] Low CVE-2016-1691: Heap buffer-overflow in Skia. Credit to Atte Kettunen of OUSPG.
[$500][598077] Low CVE-2016-1692: Limited cross-origin bypass in ServiceWorker. Credit to Til Jasper Ullrich.
[$500][598752] Low CVE-2016-1693: HTTP Download of Software Removal Tool. Credit to Khalil Zhani.
[$500][603682] Low CVE-2016-1694: HPKP pins removed on cache clearance. Credit to Ryan Lester and Bryant Zadegan.

Læs også:

Browser-krigen 2016: Vælger du Chrome, Firefox, Safari, Edge - eller en helt anden browser?

Wearables

Disse tre gadgets har fulgt mig igennem mit vægttab: Sådan har de fungeret og hjulpet mig

Seneste nyt

|Vis seneste uge

Læses lige nu

Kunstig intelligens

Først lukkede USA for Anthropic-model: Nu presses OpenAI af Det Hvide Hus

Klumme

Nørgaard: Apple er centrum i farlig måde at regulere på, der kun kan føre til dårlige ting - og jeg har endda prøvet det selv

Windows 10

Microsoft forlænger igen support til Windows 10: Så længe kan du nu holde systemet i live

Digital sikkerhed

Nye spor peger i denne retning: Stod de bag et af verdenshistoriens mest skadelige hacker-angreb?

Konsulenter

Itm8 har tabt knap to milliarder kroner på fire år: Nu skyder ejeren penge ind

Annonce

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.

Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.

Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.

Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it