„Google“ padidina „Chrome“ klaidų bounty programą, siūlančią didžiulius apdovanojimus saugumo tyrinėtojams
Siekdama drąsiai sustiprinti savo pavyzdinės naršyklės saugumą, „Google“ smarkiai padidino išmokas už „Chrome“ spragų atradimą. Technologijų milžinas dabar siūlo iki 250 000 USD tyrėjams, kurie atskleidžia esminius trūkumus, o tam tikromis sąlygomis galima gauti dar didesnį atlygį.
Table of Contents
Dideli pinigai dideliems atradimams
Didžiausi atlygiai skiriami už rimčiausias saugumo problemas, ypač už atminties sugadinimo klaidas ne smėlio dėžėje esančiuose procesuose. Jei tyrėjas gali parodyti nuotolinį kodo vykdymą (RCE), naudodamas funkcinį išnaudojimą, „Google“ yra pasirengusi sumokėti ketvirčio milijono dolerių premiją. Šis skaičius gali išaugti dar didesnis, jei koncepcijos įrodymo (PoC) kodas pasiekia RCE nepakenkiant atvaizduotojui, o tai parodo „Google“ įsipareigojimą apdovanoti novatoriškus tyrimus.
Atlygio pakopos už pranešimus apie pažeidžiamumą
Atnaujinta „Google“ atlygio struktūra apima daugybę pažeidžiamumų, o išmokėjimo suma priklauso nuo problemos sunkumo ir sudėtingumo:
- Iki 250 000 USD : už RCE ne smėlio dėžės procesuose su papildomais atlygiais už PoC kodą, kuris išvengia atvaizduotojo kompromiso.
- Iki 90 000 USD : už kontroliuojamą rašymo pažeidžiamumą ne smėlio dėžėje esančiuose procesuose.
- Iki 85 000 USD : RCE labai privilegijuotuose procesuose.
- Iki 55 000 USD : RCE smėlio dėžės procesuose.
- Iki 35 000 USD : dėl atminties sugadinimo pažeidžiamumų.
- Iki 30 000 USD : aukštos kokybės ataskaitoms apie kliento trūkumus, dėl kurių atsiranda įvairių svetainių scenarijų (XSS) arba svetainės izoliavimo apėjimas.
- Iki 250 128 USD : pažeidžiamoms vietoms, apeinančioms „Chrome“ MiraclePtr technologiją, itin svarbią apsaugą nuo nenaudojamų išnaudojimų.
Giluminių tyrimų skatinimas
Didelis atlygio padidėjimas skirtas paskatinti gilesnius „Chrome“ saugos mechanizmų tyrimus. Siūlydami didesnes išmokas, „Google“ tikisi atskleisti pažeidžiamumą, kuris kitu atveju būtų nepastebėtas, taip užtikrindama saugesnę naršymo patirtį savo didžiulei vartotojų bazei. Bendrovė pabrėžia, kad atlygis bus nustatytas atsižvelgiant į praneštos problemos kokybę, poveikį ir galimą žalą.
Auksinė galimybė saugumo ekspertams
Naujausias „Google“ pažeidžiamumo atlygio programos (VRP) atnaujinimas yra svarbi galimybė saugumo tyrinėtojams padaryti reikšmingą poveikį ir uždirbti nemažų atlygių. Nukreipdami į svarbiausius pažeidžiamumus, mokslininkai gali prisidėti prie nuolatinio vienos populiariausių pasaulyje naršyklių saugos, o už savo žinias gaus nemažą atlygį.
Tiems, kurie turi įgūdžių rasti ir išnaudoti šias spragas, naujoji „Google“ premijų programa siūlo ne tik finansines paskatas, bet ir galimybę atlikti pagrindinį vaidmenį saugant skaitmeninę ekosistemą.
