Google более чем вдвое увеличила выплаты за уязвимости безопасности браузера Chrome. Теперь максимальное вознаграждение за ошибку превышает $250 тысяч.
Поисковый гигант будет дифференцировать уязвимости повреждения памяти в зависимости от качества отчёта и стремления исследователя найти все возможные пути влияние этой проблемы.
«Пришло время развивать вознаграждения программы Chrome VRP, чтобы стимулировать выход высококачественных отчётов и более глубокие исследования уязвимостей», — отмечает инженер по безопасности Chrome Эми Ресслер.
Больше всего исследователи получат за демонстрацию RCE в неизолированном процессе. Если же баг работает без компрометации рендерера, то сумма вознаграждения вырастет.
Компания также более чем удвоила размер вознаграждения за обходы MiraclePtr — до $250 тысяч.
Google будет классифицировать отчёты следующим образом:
низкое воздействие (низкий потенциал для эксплуатации, существенные предпосылки, низкий контроль со стороны злоумышленника, низкий риск/потенциал нанесения вреда пользователю);
умеренное воздействие (умеренные предпосылки для эксплуатации, умеренная степень контроля со стороны злоумышленника);
высокое воздействие (прямой путь к эксплуатации, очевидный и существенный вред для пользователя, удалённая эксплуатируемость, незначительные предпосылки для эксплуатации).
Ранее в этом месяце Google объявила, что Программа вознаграждений за безопасность Play (GPSRP) закроется для подачи новых отчётов в конце этого месяца.
В июле компания запустила программу kvmCTF для повышения безопасности гипервизора Kernel-based Virtual Machine (KVM). Тогда же она объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях. Теперь их максимальный размер составит чуть более $151 тысячи.
С момента запуска Программы вознаграждений за уязвимости (VRP) в 2010 году Google выплатила более $50 млн в виде вознаграждений исследователям, которые сообщили более чем о 15 тысячах уязвимостей. Только в 2023 году компания выплатила $10 млн.
Источник: habr.com