Normalement, quand on déniche et exploite des failles, on risque le trou. Michael, quand il se contente de trouver un trou, il gagne de l'argent. 2500 dollars, même, pour 5 trous.

Une étrange partie de golf ? Un roi de la perceuse ? Un habile chasseur de taupe ? Comment a-t-il fait ?

On se souvient (non ? vite, aux actualités relatives !) que la Fondation Mozilla offrait 500$ et un T-Shirt si vous découvrez une faille dans l'un des logiciels issus de ses murs. Mozilla Security Bug Bounty Program est le nom de cette chasse à la prime. L'objectif n'est pas de montrer que Mozilla n'a pas de brèche, ni d'enrichir ou engraisser la communauté des hackers mais de montrer que les failles peuvent être rapidement colmatées par les maçons maisons.

Michael Krax a trouvé en tout 5 failles. Soit, si je pose 1 et je retiens 3 que je divise par 2 tout en retranchant 7, très exactement 2500 dollars de prime au trou.

Les bugs découverts (et colmatés) sont à consulter notamment sur son site :

MFSA 2005-16 Falsification du contenu de la fenêtre de téléchargement
MFSA 2005-25 possibilité d'exécuter un code malvéillant via une image GIF
MFSA 2005-26 Vol de cookies
MFSA 2005-27 Modification des variables contenues dans about:config
MFSA 2005-32 Attaque via la barre de défilement