Google увеличивает максимальную награду за ошибки в Chrome


Google увеличил максимальную выплату по своей программе Chrome Reward до 15000 долларов и применяет повышенные ставки к материалам, поданным с июля 2014 года.

Отныне исследователи также получат известность и богатство благодаря тому, что их имена будут внесены в Зал славы Google.

Объявляя об увеличении, Тим Уиллис из команды Chrome Security сообщает, что Google уже выплатил 1,25 миллиона долларов через свою программу вознаграждений Chrome, и указывает, что по мере того, как Chrome становится более безопасным, становится все труднее находить в нем ошибки. Он пишет:

Это хорошая проблема! Признавая, что для обнаружения уязвимостей в Chrome требуются дополнительные усилия, мы увеличиваем размер вознаграждения.

Для большей прозрачности в этой таблице указаны новые суммы вознаграждения вместе с пояснительными примечаниями:

[1] Высококачественный отчет с надежным эксплойтом, демонстрирующий, что обнаруженная ошибка может быть легко, активно и надежно использована против наших пользователей. [2] Отчет, который включает свернутый тестовый пример и версии Chrome, затронутые ошибкой. Вы также продемонстрируете, что использование этой уязвимости весьма вероятно (например, хороший контроль над EIP или другим регистром ЦП). Ваш отчет должен быть кратким и хорошо написанным, содержать только необходимые детали и комментарии. [3] Присутствует минимизированный тестовый пример или вывод фаззера, который указывает на ошибку безопасности. [4] Отчет, представленный только с аварийным дампом, без Proof of Concept (PoC) или с PoC низкого качества (например, дамп нечеткого файла размером 1 МБ без попытки сокращения), который позже подтверждается как законная проблема. [5] Выход из любого уровня песочницы (включая песочницу NaCl) будет рассматриваться как выход из песочницы.

Уиллис заявляет в своем блоге:

мы будем платить по более высокой шкале, когда исследователи смогут предоставить эксплойт, чтобы продемонстрировать конкретный путь атаки против наших пользователей. Теперь у исследователей есть возможность сначала сообщить об уязвимости, а потом использовать эксплойт. Мы считаем, что это беспроигрышная ситуация для безопасности и исследователей: мы можем исправлять ошибки раньше, а наши участники могут быстрее заявить права на ошибки, что снижает шансы на отправку дублирующего отчета.

Исследователи могут получить даже больше, чем указано в таблице за «особенно хорошие отчеты».

Часто задаваемые вопросы на странице правил программы вознаграждений Chrome также содержат информацию о новой программе для доверенных исследователей. Это программа только по приглашениям, которая предлагает опытным разработчикам фаззеров запускать свои фаззеры в масштабе Google. Исследователи получают 100% вознаграждения за любые ошибки, обнаруженные их фаззерами, при условии, что одна и та же ошибка не была обнаружена одним из фаззеров Google в течение 48 часов. В FAQ говорится:

Самый простой способ получить приглашение в эту программу — сообщить об ошибках качества, обнаруженных в одном из ваших фаззеров. Если нам нравится то, что мы видим, мы сообщим подробности!


Добавить комментарий