Компания Google в два раза увеличивает выплаты за уязвимости, обнаруженные в браузере Chrome. Теперь максимальное вознаграждение за одну ошибку доходит до 250 000 долларов США.

Сообщается, что теперь компания будет оценивать уязвимости, связанные с повреждением памяти, основываясь на качестве отчетов и стремлении исследователей выявить все последствия от обнаруженных им проблем.

Так, вознаграждение за базовые отчеты, демонстрирующие повреждение памяти в Chrome с трассировкой стека и proof-of-concept составит до 25 000 долларов США. А более высококачественные отчеты, с демонстрацией удаленного выполнения кода (RCE) и работающим эксплоитом будут цениться намного дороже.

«Пришло время изменить размеры вознаграждений в рамках Chrome VRP (Vulnerability Reward Program), чтобы создать более четкую структуру и более ясные ожидания для исследователей безопасности, сообщающих нам об ошибках, а также поощрить написание качественных отчетов и более глубокое исследование уязвимостей в Chrome, что позволит изучить их в полной мере и раскрыть весь потенциал их эксплуатации, — пишет инженер по безопасности Chrome Эми Ресслер (Amy Ressler). — Максимальная сумма возможного вознаграждения за одну проблему теперь составляет 250 000 долларов США за демонстрацию RCE в процессе вне песочницы. Если RCE можно добиться без компрометации рендерера, сумма вознаграждения увеличивается, включая выплату за RCE рендерера».

Кроме того, компания более чем в два раза увеличила сумму вознаграждений за обход MiraclePtr — до 250 128 долларов США (ранее 100 115 долларов США).

Также Google готова выплачивать вознаграждения за сообщения о других классах уязвимостей, в зависимости от их уровня, влияния и потенциального вреда для пользователей Chrome.

«Все отчеты по-прежнему имеют право на бонусное вознаграждение, если соответствуют всем необходимым требованиям. Мы продолжим изучать дополнительные экспериментальные возможности для вознаграждений, аналогичные предыдущей программе Full Chain Exploit Reward, и будем развивать нашу программу, чтобы более эффективно работать на благо сообщества безопасности, — добавляет Ресслер. — Отчеты, которые недостаточно убедительно демонстрируют последствия для безопасности или потенциальный вред для пользователей, или же являются чисто теоретическими и спекулятивными, вряд ли получат право на получение вознаграждений в рамках программы VRP».

Отмечается, что с момента запуска программы вознаграждения за обнаруженные уязвимости в 2010 году Google выплатила более 50 млн долларов США ИБ-исследователям, которые нашли более 15 000 уязвимостей.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии