谷歌2023年共发放1000万美元漏洞奖励
2024-3-13 17:32:53 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2023年,谷歌共向来自68个国家的632名研究员发放了1000万美元的奖励,表彰他们为谷歌发现并负责任报送产品和服务漏洞。

尽管要比2022年所发放的1200万美元要低,但总额仍然很多,表明了社区对谷歌安全的高度参与性。2023年谷歌发放的最高单笔赏金是113337美元,而从2010年漏洞奖励计划启动以来谷歌共计发放5900万美元。

而针对全球最流行且使用最广泛的移动操作系统安卓,谷歌发放的奖励总额超过3400万美元。谷歌还将对安卓严重漏洞的最高奖励金提升至1.5万美元,以此获得社区的更多支持。

在安全会议如 ESCAL8和hardwea.io上,谷歌为从 Wear OS 和安卓 Automotive OS中发现20个严重漏洞的研究员发放了7万美元的奖励,并为设计 Nest、Fitbit和Wearables等的50份漏洞报告发放了11.6万美元的奖励。

谷歌的另外一项大型软件项目 Chrome 浏览器收到了359份漏洞报告,共发放2100万美元的奖励。2023年6月1日,谷歌宣布称截止到2023年12月1日,将为针对 Chrome 的沙箱逃逸链漏洞提供原额3倍的赏金。谷歌还增加了对V8老旧版本(早于M105)的漏洞奖励额,结果为一个已存在很久的V8 JIT 优化漏洞(自从M91就已存在)发放了3万美元的奖励。

另外值得一提的是,谷歌在 Chrome M11t6中引入 “Miracle Ptr”,旨在防御非渲染UAF漏洞。引入之后,这些漏洞被视作严重等级,谷歌还推出了绕过该机制本身的漏洞奖励。

另外,谷歌还在生成式AI产品如谷歌 Bard 推出漏洞奖励计划,在bugSWAT 实时黑客大赛上,35份漏洞报告获得总计8.7万美元的奖励。

除了奖励本身外,谷歌漏洞奖励计划还在2023年做出了如下重要发展和增强:

  • 推出 Bonus Awards 计划,为特定目标提供额外奖励

  • 扩展利用奖励计划,囊括 Chrome、Cloud,推出专注于Chrome V8 JavaScript引擎的v8CTF

  • 为第三方安卓应用推出 Mobile VRP

  • 推出 Bughunters 博客,分享洞见和安全措施

  • 在东京举办 ESCAL8安全会议,包括实时黑客大赛、工作坊和讨论。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌发布漏洞奖励计划和其它举措,保护AI安全

谷歌推出安卓应用奖励计划,最高赏金3万美元

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

谷歌提高Linux内核漏洞奖励金,最高133337美元

原文链接
https://www.bleepingcomputer.com/news/google/google-paid-10-million-in-bug-bounty-rewards-last-year/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519052&idx=2&sn=d5b9f6a7d087ce1726d9e0679cc933b4&chksm=ea94ba26dde333307a450f63f68590bc4791675780d23d65dd3bb4bc44f6f0006aacb375962f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh