Mozilla要懸賞抓瀏覽器漏洞

| | | | | | 留下回應

    

由於瀏覽器接連鬧了幾個高知名度漏洞後，Mozilla基金會週一宣布提供抓蟲獎金，只要安全研究員抓到嚴重漏洞，每個可懸賞500美元。

Mozilla基金會負責主導Mozilla、Firefox瀏覽器與Thunderbird電子郵件軟體的開發，先前該公司已經證實該組織的瀏覽器在處理數位認證時會有兩個嚴重漏洞。上週五，微軟則修復了IE瀏覽器中的嚴重漏洞，其中部分早在六月份就已經人盡皆知。

「最近的事件顯示提供這類承諾的需要，」Mozilla基金會總裁Mitchell Baker表示，「此一計畫將可協助我們找出先前的安全問題，好讓我們的支援人員可提早矯正問題，免得被惡意駭客所濫用。」

Linux軟體商Linspire與網路創業家Mark Shutteworth出資贊助此項新計畫，並命名為Mozilla Security Bug Bounty Program(Mozilla安全臭蟲懸賞獎勵計畫)，Linspire提供該計畫5000美元種子基金，Shuttleworth本人則承諾會另提供5000美元的贊助。

「Mozilla基金會今年邁入第二年，我們將會全面清查所有已上市以及未來一年即將推出的軟提程式，」基金會工程主任Chris Hofmann表示，「我們非常嚴肅看待安全議題，我們希望採取主動。」他也表示基金會會繼續尋找更多人來贊助此一計畫。

Hofman指出雖然被發現幾個漏洞，但Mozilla的安全還是相當好。部分批評者則認為Mozilla的漏洞其實不會比微軟的來得少，只是微軟軟體比較熱門，所以比較容易引來注意。

「一般人總認為若Mozilla的市佔率跟微軟一樣高，我們被發現的漏洞也會跟著增加，但我們並不這麼認為。」Hofmann表示。

微軟代表則沒有立即對此表示回應。

願意出錢獎勵抓軟體漏洞的公司沒幾家，且獎金多半是由安全廠商出錢來抓別家軟體產品的漏洞。這樣的好處是自家產品能更別競爭對手辨識出更多漏洞。且這種作法也有助於部分入侵者放棄原來攻擊計畫，改而去拿獎金。

不過Hofmann也承認500美元的吸引力不是很大，「我們並不打算提供獎金，這只是當作一種感謝的方式而已。」

微軟本身並沒有提供獎金給抓到臭蟲者，但卻分別提供25萬美元懸賞緝拿病毒作者。(陳奭璁)