Mozilla Foundation przyznaje specjalistom od zabezpieczeń regularne premie w zamian za informacje dotyczące krytycznych błędów w przeglądarce Firefox. Jednak tym razem lukę bezpieczeństwa wykrył dwunastolatek i otrzymał nagrodę w wysokości 3 tysięcy dolarów
Problem
Amerykanin Alexander Miller znalazł krytyczną usterkę w funkcji JavaScriptu i zgłosił ją gdzie trzeba. W prowadzonych przezeń testach akurat jedna z najczęściej używanych funkcji JavaScriptu, mianowicie document.write(), reagowała na zbyt długie łańcuchy znaków błędem przepełnienia bufora, który przypuszczalnie daje się wykorzystać do przemycenia i uruchomienia kodu z zewnątrz.
W wywiadzie udzielonym amerykańskim mediom dwunastolatek przyznał, że zachętą do poszukiwań była podwyżka premii z 50. do 3 tysięcy dolarów. Na wyszukiwanie nagrodzonego błędu przeznaczał po 90 minut przez 10 dni. Już wcześniej odkrył inną lukę i zgłosił ją do Mozilla Foundation, ale nie spełniała ona wymogów kwalifikujących znalazcę do wypłaty nagrody.
Rozwiązanie
Usterkę tę wraz z innymi programiści Mozilli naprawili w Firefoksie 3.6.11 i 3.5.14 oraz Thunderbirdzie 3.1.5 i 3.0.9 - Alex Miller został wpisany na listę współtwórców oprogramowania (credits) jako badacz bezpieczeństwa (Security Researcher).
wydanie internetowe www.heise-online.pl
