谷歌系统和应用的最高漏洞奖励提升至5倍,达151k美元
2024-7-12 18:32:0 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌宣布将通过漏洞奖励计划 (VRP) 报送的系统和应用奖励提升至原来的5倍,最高赏金达151515美元。

谷歌表示,“随着我们的系统变得越来越安全,我们知道找到漏洞所花费的时间也越来越长,因此我们很高兴宣布将漏洞奖励提升至5倍。”最高赏金由“最敏感产品中的RCE漏洞所获得101010美元,加上质量出色的漏洞报告的1.5倍组成”。只有从协调世界时 (UTC) 7月11日0点开始提交的漏洞报告才由资格按照新的奖励方法计算。

除了颁发更高的赏金外,谷歌最近还扩大了支付选项,包括通过 Bugcrowd 平台支付赏金。谷歌在VRP 规则更新后的“赏金额”部分,提供了关于赏金和新的赏金结构信息。

示例漏洞

新赏金额

旧赏金额

可导致@gmail.com账户接管的逻辑漏洞

($50,000   * 1.5) = $75,000

$13,337

Idx.google.com上的XSS

($10,000   * 1.5) = $15,000

$3,133.7

home.nest.com上暴露个人可识别信息的逻辑漏洞

($2,500   * 1.5) = $3,750

$500

谷歌VRP的最新进展

上周,谷歌推出 kvmCTF,它是在2023年10月宣布的一个新的漏洞奖励计划,旨在提升基于 Kernel 的虚拟机管理程序的安全。kvmCTF 关注KVM 管理程序中虚拟机可触及的漏洞,并为完整的虚拟机逃逸利用提供25万美元的赏金。

一年前,谷歌还将Chrome 沙箱逃逸利用链的赏金提升至3倍,一直持续到2023年12月1日。

自2010年推出漏洞奖励计划以来,谷歌已经向报送了1.5万多个漏洞的安全研究员支付了5000多万美金的奖励。单在去年一年,谷歌就支付了1000万美元的赏金,获得最高赏金的漏洞猎人获得113,337美元。谷歌有史以来颁发的最高赏金是在2022年颁发的605000美元,获得者通过5个漏洞组成一个安卓利用链。这名研究员还在2021年报送了另外一个严重的安卓利用链,获得157000美元的赏金。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌推出新的KVM漏洞奖励计划,最高赏金25万美元

谷歌发布漏洞奖励计划和其它举措,保护AI安全

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

谷歌提高Linux内核漏洞奖励金,最高133337美元

谷歌 Nest 和 Fitbit 漏洞奖励翻番

原文链接

https://www.bleepingcomputer.com/news/security/google-increases-bug-bounty-rewards-five-times-up-to-151k/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520048&idx=1&sn=b45bc25ca26f3d26e25a19aee6ea8983&chksm=ea94be5adde3374c9d5414f997b3638d7d79da17552a9b352f161c5b61fcf33781d778fbdfb6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh