Google отменил свой ежегодный однодневный конкурс на демонстрацию уязвимостей в Chrome. В будущем ошибки могут привлекать вознаграждение круглый год.
Исследователи в области безопасности, возможно, ожидали до этого объявления о ежегодном конкурсе Google по взлому Pwnium, который проводился в начале CanSecWest в последние годы и предлагал вознаграждения в размере миллионов долларов.
Теперь блог Chromium нарушил молчание — и сильно изменил правила. Конкурс Pwnium теперь никогда не заканчивается, награды также безграничны. Наибольшее вознаграждение по программе вознаграждений Chrome за соответствующую ошибку в Chrome OS теперь будет составлять 50 000 долларов. Хотя это большой шаг вперед для программы Chrome Reward, у которой ранее был максимум 15,00 долларов (см. Google увеличивает максимальную награду за ошибки Chrome), это значительно меньше, чем призы в размере до 150 000 долларов, присужденные на предыдущих конкурсах Pwnium.
По словам команды безопасности Chrome, переход от ежегодного мероприятия к постоянному соревнованию устраняет барьеры для входа — ранее только те, кто прошел предварительную регистрацию и на самом деле были CanSecWest, имели право на награды Pwnium — и удаляет стимул для «накопления ошибок», то есть обнаружения ошибки и ожидания ежегодного конкурса, чтобы сообщить о ней, чтобы заработать.
Команда Chrome Security отмечает:
Это плохой сценарий для всех сторон. Это плохо для нас, потому что ошибка не устраняется немедленно, и наши пользователи подвергаются риску. Для них это плохо, так как они действительно рискуют столкнуться с ошибками. Позволяя исследователям безопасности сообщать об ошибках круглый год, вероятность столкновений значительно снижается, и исследователи безопасности не дублируют свои усилия по устранению одних и тех же ошибок.
Кроме того, спросив некоторых исследователей, команда обнаружила, что возможность отчитываться круглый год является предпочтительным вариантом.
Несмотря на то, что Pwnium не будет на CanSecWest 2015, которая пройдет 18–20 марта в Ванкувере, Канада, уже существующий конкурс Pwn2Own, организованный Hewlett Packard’s Zero Day Initiative, будет там. Ожидается, что призовой фонд в этом году составит более полумиллиона долларов наличными и безналичными, и Google является одним из спонсоров.
В блоге HP Security Research были объявлены следующие цели и призы:
Цели на базе Windows:
Google Chrome (64-разрядная версия): 75 000 долларов
Microsoft Internet Explorer 11 (64-разрядная версия с поддержкой EPM): 65 000 долларов США.
Mozilla Firefox: 30 000 долларов
Adobe Reader, работающий в Internet Explorer 11 (64-разрядная версия с поддержкой EPM): 60 000 долларов США.
Adobe Flash (64-разрядная версия), работающая в Internet Explorer 11 (64-разрядная версия с включенным EPM): 60 000 долларов США.
Цели на базе Mac OS X:
Apple Safari (64-разрядная версия): 50 000 долларов
Кроме того, для целей на базе Windows участник, добившийся выполнения кода на системном уровне, получит дополнительно 25 000 долларов. Более того, для цели Google Chrome команда безопасности Chrome предоставит дополнительное вознаграждение в размере 10 000 долларов США за любую запись, которая также может успешно использовать последнюю версию канала выпуска Chrome 42, даже если Chrome 42 не будет на стабильном канале. на время конкурса.