Компания Google в два раза увеличивает выплаты за уязвимости, обнаруженные в браузере Chrome. Теперь максимальное вознаграждение за одну ошибку доходит до 250 000 долларов США.
Сообщается, что теперь компания будет оценивать уязвимости, связанные с повреждением памяти, основываясь на качестве отчетов и стремлении исследователей выявить все последствия от обнаруженных им проблем.
Так, вознаграждение за базовые отчеты, демонстрирующие повреждение памяти в Chrome с трассировкой стека и proof-of-concept составит до 25 000 долларов США. А более высококачественные отчеты, с демонстрацией удаленного выполнения кода (RCE) и работающим эксплоитом будут цениться намного дороже.
«Пришло время изменить размеры вознаграждений в рамках Chrome VRP (Vulnerability Reward Program), чтобы создать более четкую структуру и более ясные ожидания для исследователей безопасности, сообщающих нам об ошибках, а также поощрить написание качественных отчетов и более глубокое исследование уязвимостей в Chrome, что позволит изучить их в полной мере и раскрыть весь потенциал их эксплуатации, — пишет инженер по безопасности Chrome Эми Ресслер (Amy Ressler). — Максимальная сумма возможного вознаграждения за одну проблему теперь составляет 250 000 долларов США за демонстрацию RCE в процессе вне песочницы. Если RCE можно добиться без компрометации рендерера, сумма вознаграждения увеличивается, включая выплату за RCE рендерера».
Кроме того, компания более чем в два раза увеличила сумму вознаграждений за обход MiraclePtr — до 250 128 долларов США (ранее 100 115 долларов США).
Также Google готова выплачивать вознаграждения за сообщения о других классах уязвимостей, в зависимости от их уровня, влияния и потенциального вреда для пользователей Chrome.
«Все отчеты по-прежнему имеют право на бонусное вознаграждение, если соответствуют всем необходимым требованиям. Мы продолжим изучать дополнительные экспериментальные возможности для вознаграждений, аналогичные предыдущей программе Full Chain Exploit Reward, и будем развивать нашу программу, чтобы более эффективно работать на благо сообщества безопасности, — добавляет Ресслер. — Отчеты, которые недостаточно убедительно демонстрируют последствия для безопасности или потенциальный вред для пользователей, или же являются чисто теоретическими и спекулятивными, вряд ли получат право на получение вознаграждений в рамках программы VRP».
Отмечается, что с момента запуска программы вознаграждения за обнаруженные уязвимости в 2010 году Google выплатила более 50 млн долларов США ИБ-исследователям, которые нашли более 15 000 уязвимостей.
