近日,谷歌公司宣布通过其漏洞奖励计划报告的Google Chrome单一漏洞的最高奖励金额已超过25万美元。
从8月28日起,谷歌将根据研究人员报告的漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示Chrome内存损坏和堆栈跟踪的基线报告显著提升至通过功能性漏洞展示远程代码执行的高质量报告。
Chrome 安全工程师 Amy Ressler 表示:现在是时候改进 Chrome VRP 奖励和金额了,以便为向我们报告漏洞的安全研究人员提供改进的结构和更明确的期望,并激励对 Chrome 漏洞进行高质量报告和更深入的研究,探索它们的全部影响和可利用潜力。
对于在非沙盒过程中展示远程代码执行(RCE)的单一问题,最高奖励金额可达25万美元。如果这种RCE能够在不损害渲染器的情况下实现,奖励金额甚至可能更高。
此外,谷歌还将MiraclePtr绕过奖励的金额增加了一倍多,从10万美元提升至25万美元。
Google 还会根据漏洞的质量、影响和对 Chrome 用户的潜在危害,将其他类别的漏洞报告归类为以下类别并给予奖励:
- 影响较小:可利用的可能性低、利用的先决条件重要、攻击者控制力低、用户危害风险/可能性低
- 中等影响:利用的先决条件中等,攻击者控制程度一般
- 高影响:可利用性的直接路径、可证明和重大的用户危害、远程可利用性、利用前提条件低
Ressler 表示:当所有报告包含适用的特征时,它们仍然有资格获得奖金奖励。我们将继续探索更多的实验性奖励机会,类似于之前的全链漏洞利用奖励,并以更好地服务于安全社区的方式发展我们的计划。没有证明安全影响或潜在用户伤害的报告,或者纯粹是理论或推测问题的报告,不太可能有资格获得 VRP 奖励。
本月早些时候,谷歌还宣布,由于可操作漏洞报告数量的减少,其Play安全奖励计划将在8月31日关闭新报告的提交。
7月,谷歌启动了kvmCTF,这是一个新的漏洞奖励计划,旨在提高基于内核的虚拟机(KVM)管理程序的安全性,为完整的VM逃逸漏洞提供高达25万美元的奖励。
自2010年推出漏洞奖励计划以来,谷歌已向报告超过1.5万名漏洞安全研究人员支付了超过5000万美元的奖励。
参考来源:Google increases Chrome bug bounty rewards up to $250,000 (bleepingcomputer.com)