Η Google τριπλασιάζει τις ανταμοιβές για τα exploits της αλυσίδας διαφυγής του Chrome sandbox
Related Posts
Η Google ανακοίνωσε σήμερα ότι οι κυνηγοί επικηρυγμένων σφαλμάτων που αναφέρουν εκμεταλλεύσεις αλυσίδας διαφυγής sandbox που στοχεύουν το πρόγραμμα περιήγησής της στο Chrome είναι πλέον επιλέξιμοι για τριπλάσια κανονική ανταμοιβή έως την 1η Δεκεμβρίου 2023.
Η πρωτοβουλία της εταιρείας στοχεύει να ενθαρρύνει τους ερευνητές ασφάλειας να εντοπίσουν και να αναφέρουν τρωτά σημεία που θα μπορούσαν να βοηθήσουν τους παράγοντες απειλών να θέσουν σε κίνδυνο τους μηχανισμούς ασφαλείας του προγράμματος περιήγησης Chrome, συμβάλλοντας τελικά στη βελτίωση της συνολικής ανθεκτικότητας του λογισμικού έναντι επιθέσεων.
Το μπόνους του προγράμματος επιβράβευσης ευπάθειας Chrome ισχύει από σήμερα, 1 Ιουνίου, και ισχύει μόνο για την πρώτη λειτουργική εκμετάλλευση πλήρους αλυσίδας.
“Η πλήρης εκμετάλλευση της αλυσίδας πρέπει να έχει ως αποτέλεσμα μια διαφυγή sandbox του προγράμματος περιήγησης Chrome, με επίδειξη ελέγχου / εκτέλεσης κώδικα εκτός του sandbox. Το σενάριο εκμετάλλευσης πρέπει να είναι πλήρως απομακρυσμένο και η εκμετάλλευση να μπορεί να χρησιμοποιηθεί από έναν απομακρυσμένο εισβολέα”, Google
εξηγεί
.
“Οι κατάλληλες εκμεταλλεύσεις πλήρους αλυσίδας πρέπει να λειτουργούν έναντι εκτεταμένων εκδόσεων σταθερού, σταθερού ή beta του Chrome κατά τη στιγμή των αρχικών αναφορών σφαλμάτων. Εάν η εκμετάλλευση παρέχεται μετά την επίλυση του σφάλματος, απαιτείται να λειτουργεί μόνο με εκδόσεις παραγωγής της αποστολής Chrome κατά τη στιγμή της αρχικής έκθεσης».
Οι επόμενες εκμεταλλεύσεις πλήρους αλυσίδας που υποβάλλονται μέσω του Chrome VRP θα λάβουν επίσης ένα σημαντικό μπόνους που θα διπλασιάσει την κανονική ανταμοιβή.
Με την υποβολή ενός πλήρους chain exploit, οι συμμετέχοντες θα μπορούσαν να λάβουν μια ανταμοιβή που αγγίζει τα $180.000, πιθανώς να αυξηθεί περαιτέρω από άλλα μπόνους και έως και $120.000 για άλλα exploit που έλαβαν σε όλη την υπόλοιπη περίοδο υποβολής των έξι μηνών.
“Αυτές οι εκμεταλλεύσεις μας παρέχουν πολύτιμες πληροφορίες σχετικά με τους πιθανούς φορείς επίθεσης για την εκμετάλλευση του Chrome και μας επιτρέπουν να εντοπίσουμε στρατηγικές για την καλύτερη σκλήρυνση συγκεκριμένων χαρακτηριστικών του Chrome και ιδεών για μελλοντικές στρατηγικές μετριασμού ευρείας κλίμακας.”
είπε
Amy Ressler, Ανώτερη Τεχνική Υπεύθυνη Προγράμματος Ομάδας Ασφαλείας του Chrome.
Πρόσφατες εξελίξεις Google VRP
Η σημερινή ανακοίνωση ακολουθεί την έναρξη του νέου προγράμματος επιβράβευσης ευπάθειας για κινητά (Mobile VRP) τον Μάιο, το οποίο συνοδεύεται από ανταμοιβές για ελαττώματα ασφαλείας που εντοπίζονται στις εφαρμογές Android της Google.
Τον Αύγουστο, η εταιρεία ανακοίνωσε επίσης ότι θα πληρώσει για σφάλματα που αναφέρθηκαν στις πιο πρόσφατες εκδόσεις του λογισμικού ανοιχτού κώδικα Google, συμπεριλαμβανομένων έργων όπως το Bazel, το Angular, το Golang, τα Protocol buffer και το Fuchsia.
Πάνω από μια δεκαετία, η Google έχει εκταμιεύσει περισσότερα από 50 εκατομμύρια δολάρια σε επιδόματα σε ερευνητές που ανέφεραν πάνω από 15.000 ευπάθειες μέσω του προγράμματος επιβράβευσης ευπάθειας (VRP).
από την έναρξή του το 2010
.
Μόνο πέρυσι, η Google πλήρωσε 12 εκατομμύρια δολάρια, με ανταμοιβή ρεκόρ 605.000 δολαρίων στο gzobqq (το υψηλότερο ποσό που έχει επιβραβευτεί ποτέ στην ιστορία του Android VRP) για μια σειρά από πέντε σφάλματα ασφαλείας που αποτελούν μέρος μιας αλυσίδας εκμετάλλευσης Android.
Ο ίδιος ερευνητής ανέφερε μια άλλη κρίσιμη αλυσίδα εκμετάλλευσης Android το προηγούμενο έτος, κερδίζοντας άλλη μια εντυπωσιακή πληρωμή 157.000 $.
