Программа оплаты за найденные уязвимости Chromium Vulnerability Rewards Program, которую Google запустила в 2010 году, приносит свои плоды: находить уязвимости стало труднее. Оно и понятно: все мелкие баги позакрывали, а их всё-таки не бесконечное количество. В последнее время компания Google зарегистрировала существенное уменьшение количество сообщений об уязвимостях от независимых исследователей. Для Google это стало индикатором того, что пора повышать оплату: и вчера компания объявила о введение новых бонусов. Максимальная оплата за «выдающиеся» баги и так была достаточно высокой ($10 тыс.), она осталась на прежнем уровне. А вот за небольшие баги теперь будут платить несколько тысяч долларов, в зависимости от бонусов.

В программу Chromium Vulnerability Rewards Program внесены следующие изменения:

* Бонус $1000 или больше сверх обычной награды за уязвимости, которые потенциально могут использоваться для эксплойтов.

* Бонус $1000 или больше сверх обычной награды за уязвимости в «стабильном коде», который уже считается очищенным от большинства багов.

* Бонус $1000 или больше сверх обычной награды за серьёзные уязвимости, которые относятся к значительно большему количеству продуктов, чем один только Chromium. Например, это могут быть некоторые open source библиотеки для парсинга.

Руководитель программы Chromium Vulnerability Rewards в официальном блоге приводит примеры «выдающихся» багов, за которые жюри присуждает награду $10 тыс. Это могут быть уязвимости в драйверах Nvidia, ATI и Intel, Windows-драйверах, если эти уязвимости можно продемонстрировать с веб-страницы.

Другие примеры:

* Эксплойты с повышением привилегий в Chrome OS через ядро Linux.

* Серьёзные уязвимости в IJG libjpeg. Вот уже более десяти лет ничего не могут найти, может быть, пора?

* 64-битные эксплойты для Chrome. Даже не требуется выход за пределы песочницы. Если есть 64-битный эксплойт — он будет оплачен по полной программе.

* Эксплойты для движка рендеринга в браузере.



Оставить мнение