Konkurs na luki w Google Native Client przyniósł rezultaty

Firma Google ogłosiła wyniki konkursu, w którym specjaliści od zabezpieczeńtestowali projekt o nazwie Native Client - najprawdopodobniejkluczowy element długofalowej strategii rozwoju firmy. Głównym zadaniem Native Clienta jest wspieranie bezpiecznegowykonywania kodu macierzystego w przeglądarkach internetowych. Mato zapewnić pełne wykorzystanie mocy obliczeniowej procesora przyzachowaniu neutralności i przenośności. NaCl korzysta zodseparowanego środowiska służącego do uruchamiania programów(sandbox) oraz narzędzi GCC, które umożliwiają kompilacjęistniejącego kodu C tak, by został on odczytany przez Native Clienti zaimplementowany na stronie WWW. Takie elementy dostępne byłybydla użytkowników poprzez JavaScript. Google utrzymuje, żerozwiązanie to jest potencjalnie znacznie bezpieczniejsze od innejpodobnej technologii - ActiveX. NaCl może odegrać bardzo ważną rolęw nowym systemie operacyjnym - Google Chrome OS, gdzie przeglądarkainternetowa będzie główną platformą obsługującą aplikacje. W zeszłym roku Google opublikował prototyp NaCl na licencji BSD iogłosił konkurs, by zachęcić specjalistów od zabezpieczeń doszukania błędów. Okazało się to strzałem w dziesiątkę, do ataku naNaCl przystąpiło ponad 600 osób. Pierwszemiejsce zdobyła drużyna złożona z pracownika IBM Marka Dowdaoraz niezależnego eksperta Bena Hawkesa (naukowcy znaleźli aż 12dość poważnych błędów). Druga pozycja przypadła pracownikomMatasano Security, którzy doszukali się czterech wad w systemiezabezpieczeń. Pełna lista znalezionych błędów widnieje na oficjalnej stronie projektu. Googlepoinformowało, że dołoży wszelkich starań, aby błędy zostały jaknajszybciej naprawione.