聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
尽管要比2022年所发放的1200万美元要低,但总额仍然很多,表明了社区对谷歌安全的高度参与性。2023年谷歌发放的最高单笔赏金是113337美元,而从2010年漏洞奖励计划启动以来谷歌共计发放5900万美元。
而针对全球最流行且使用最广泛的移动操作系统安卓,谷歌发放的奖励总额超过3400万美元。谷歌还将对安卓严重漏洞的最高奖励金提升至1.5万美元,以此获得社区的更多支持。
在安全会议如 ESCAL8和hardwea.io上,谷歌为从 Wear OS 和安卓 Automotive OS中发现20个严重漏洞的研究员发放了7万美元的奖励,并为设计 Nest、Fitbit和Wearables等的50份漏洞报告发放了11.6万美元的奖励。
谷歌的另外一项大型软件项目 Chrome 浏览器收到了359份漏洞报告,共发放2100万美元的奖励。2023年6月1日,谷歌宣布称截止到2023年12月1日,将为针对 Chrome 的沙箱逃逸链漏洞提供原额3倍的赏金。谷歌还增加了对V8老旧版本(早于M105)的漏洞奖励额,结果为一个已存在很久的V8 JIT 优化漏洞(自从M91就已存在)发放了3万美元的奖励。
另外值得一提的是,谷歌在 Chrome M11t6中引入 “Miracle Ptr”,旨在防御非渲染UAF漏洞。引入之后,这些漏洞被视作严重等级,谷歌还推出了绕过该机制本身的漏洞奖励。
另外,谷歌还在生成式AI产品如谷歌 Bard 推出漏洞奖励计划,在bugSWAT 实时黑客大赛上,35份漏洞报告获得总计8.7万美元的奖励。
除了奖励本身外,谷歌漏洞奖励计划还在2023年做出了如下重要发展和增强:
推出 Bonus Awards 计划,为特定目标提供额外奖励
扩展利用奖励计划,囊括 Chrome、Cloud,推出专注于Chrome V8 JavaScript引擎的v8CTF
为第三方安卓应用推出 Mobile VRP
推出 Bughunters 博客,分享洞见和安全措施
在东京举办 ESCAL8安全会议,包括实时黑客大赛、工作坊和讨论。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~