Google увеличила вознаграждение за обнаружение уязвимостей в Chrome до $250 тысяч

Google более чем вдвое увеличила выплаты за уязвимости безопасности браузера Chrome. Теперь максимальное вознаграждение за ошибку превышает $250 тысяч.

Поисковый гигант будет дифференцировать уязвимости повреждения памяти в зависимости от качества отчёта и стремления исследователя найти все возможные пути влияние этой проблемы.

«Пришло время развивать вознаграждения программы Chrome VRP, чтобы стимулировать выход высококачественных отчётов и более глубокие исследования уязвимостей», — отмечает инженер по безопасности Chrome Эми Ресслер.

Больше всего исследователи получат за демонстрацию RCE в неизолированном процессе. Если же баг работает без компрометации рендерера, то сумма вознаграждения вырастет.

Компания также более чем удвоила размер вознаграждения за обходы MiraclePtr — до $250 тысяч.

Google будет классифицировать отчёты следующим образом:

низкое воздействие (низкий потенциал для эксплуатации, существенные предпосылки, низкий контроль со стороны злоумышленника, низкий риск/потенциал нанесения вреда пользователю);

умеренное воздействие (умеренные предпосылки для эксплуатации, умеренная степень контроля со стороны злоумышленника);

высокое воздействие (прямой путь к эксплуатации, очевидный и существенный вред для пользователя, удалённая эксплуатируемость, незначительные предпосылки для эксплуатации).

Ранее в этом месяце Google объявила, что Программа вознаграждений за безопасность Play (GPSRP) закроется для подачи новых отчётов в конце этого месяца.

В июле компания запустила программу kvmCTF для повышения безопасности гипервизора Kernel-based Virtual Machine (KVM). Тогда же она объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях. Теперь их максимальный размер составит чуть более $151 тысячи.

С момента запуска Программы вознаграждений за уязвимости (VRP) в 2010 году Google выплатила более $50 млн в виде вознаграждений исследователям, которые сообщили более чем о 15 тысячах уязвимостей. Только в 2023 году компания выплатила $10 млн.

Источник: habr.com

0 0 голоса
Рейтинг новости
12458
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии