聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌表示,“随着我们的系统变得越来越安全,我们知道找到漏洞所花费的时间也越来越长,因此我们很高兴宣布将漏洞奖励提升至5倍。”最高赏金由“最敏感产品中的RCE漏洞所获得101010美元,加上质量出色的漏洞报告的1.5倍组成”。只有从协调世界时 (UTC) 7月11日0点开始提交的漏洞报告才由资格按照新的奖励方法计算。
除了颁发更高的赏金外,谷歌最近还扩大了支付选项,包括通过 Bugcrowd 平台支付赏金。谷歌在VRP 规则更新后的“赏金额”部分,提供了关于赏金和新的赏金结构信息。
示例漏洞 | 新赏金额 | 旧赏金额 |
可导致@gmail.com账户接管的逻辑漏洞 | ($50,000 * 1.5) = $75,000 | $13,337 |
Idx.google.com上的XSS | ($10,000 * 1.5) = $15,000 | $3,133.7 |
在home.nest.com上暴露个人可识别信息的逻辑漏洞 | ($2,500 * 1.5) = $3,750 | $500 |
上周,谷歌推出 kvmCTF,它是在2023年10月宣布的一个新的漏洞奖励计划,旨在提升基于 Kernel 的虚拟机管理程序的安全。kvmCTF 关注KVM 管理程序中虚拟机可触及的漏洞,并为完整的虚拟机逃逸利用提供25万美元的赏金。
一年前,谷歌还将Chrome 沙箱逃逸利用链的赏金提升至3倍,一直持续到2023年12月1日。
自2010年推出漏洞奖励计划以来,谷歌已经向报送了1.5万多个漏洞的安全研究员支付了5000多万美金的奖励。单在去年一年,谷歌就支付了1000万美元的赏金,获得最高赏金的漏洞猎人获得113,337美元。谷歌有史以来颁发的最高赏金是在2022年颁发的605000美元,获得者通过5个漏洞组成一个安卓利用链。这名研究员还在2021年报送了另外一个严重的安卓利用链,获得157000美元的赏金。
https://www.bleepingcomputer.com/news/security/google-increases-bug-bounty-rewards-five-times-up-to-151k/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~