谷歌单个Chrome漏洞的最高赏金超25万美元
2024-8-29 18:9:10 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌将通过其漏洞奖励计划报送的单个 Chrome 漏洞最高赏金提升至原来的2倍,超过25万美元。

从今天开始,谷歌将根据报告的质量以及研究员查找所报告漏洞的完整影响,对内存损坏漏洞进行分类。通过栈追踪和 PoC 演示Chrome 内存损坏,研究员可获得最高2.5万美元的奖励;而通过可运作利用展示远程代码执行的高质量报告可获得更多。

Chrome 安全工程师 Amy Ressler 表示,“是时候改变 Chrome VRP 奖励和金额了,通过提供优化后的结构和更明确的期待,推动研究员向我们报送并通过高质量的Chrome漏洞报送和更深入的研究,探索这些漏洞的完全影响和可利用性潜力。”

他提到,“如能演示通过单个漏洞利用在非沙箱流程中实现RCE,则研究员可获得最高25万美元的赏金。如果可在未攻陷渲染器的情况下,在非沙箱流程中实现RCE,则可获得包括渲染器RCE赏金在内的更高赏金。”

另外,谷歌还将 MiraclePtr 绕过的赏金从100115美元提升至2倍即250128美元。

谷歌还为其它类型的漏洞设置了奖励,根据报告质量、影响和潜在的用户影响,这些漏洞被分为:

  • 低影响:可利用可能性低、利用的前置条件多、攻击者控制低以及用户损害风险/潜力低。

  • 中等影响:利用的预置条件中等、攻击者控制程度中等。

  • 高影响:可利用路径简单直接、造成的用户损害可演示且重大、具备远程可利用性、利用的预置条件低。

Ressler 表示,“如报告中包括可应用特征,它们仍然可获得奖励。我们将继续探索更多的类似于之前的‘全链利用奖励’的实验性奖励机会,并改进我们的漏洞奖励计划,更好地服务安全社区。如报告无法演示漏洞对用户造成的安全影响或潜力,或纯粹是理论或推断性问题的报告,则可能无法获得VRP奖励。”

本月早些时候,谷歌还宣布称,因“所报告的可行漏洞数量下降”,将在本月月底即8月31日停止运行Play安全奖励计划 (GPSRP)。7月,谷歌发布了首次在2023年10月披露的kvmCTF 奖励计划,旨在改进KVM 管理程序的安全性,为完整的 VM 逃逸利用提供25万美元的奖励。

自2010年推出漏洞奖励计划 (VRP) 以来,谷歌已为报送超过1.5万个漏洞的安全研究员支付了超过5000万美元的奖励。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告

CISA提醒修复严重的Chrome 和 D-Link漏洞

谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞

原文链接

https://www.bleepingcomputer.com/news/google/google-increases-chrome-bug-bounty-rewards-up-to-250-000/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520627&idx=1&sn=e98afd2bb604a7bc41cadce2c53f2ab3&chksm=ea94a019dde3290fe4adbad1106c57776b38ae4dd608564a94bb4be8c9881f87478eac1c79a0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh