谷歌加大对 Chrome 浏览器安全性研究的奖励力度

现在起至 2023 年 12 月 1 日,首位提交一份包含全链路漏洞利用、能导致 Chrome 沙箱逃逸的安全漏洞报告的研究者,将有资格获得原奖励金额的三倍,最高可能达到 180,000 美元。

谷歌加大对 Chrome 浏览器安全性研究的奖励力度

谷歌在其安全博客上宣布,将为成功找出并报告 Chrome 浏览器中的安全漏洞的研究者提供更高的奖励。这是其 Chrome 漏洞奖励计划(Chrome Vulnerability Rewards Program)的一部分,该计划已经开展了13年,目的是鼓励安全研究者找出Chrome浏览器的安全漏洞,并将其报告给谷歌。

根据最新的规定,从现在起至 2023 年 12 月 1 日,首位提交一份包含全链路漏洞利用、能够导致 Chrome 沙箱逃逸的安全漏洞报告的研究者,将有资格获得原奖励金额的三倍。这意味着,您的全链路漏洞利用可能使您获得高达 180,000 美元(可能因其他奖金而更高)的奖励。

在此期间,提交的其他全链路漏洞利用也有资格获得原奖励金额的两倍。谷歌历来对包含漏洞利用的报告给予高度重视。在漏洞奖励计划中,“配有功能性漏洞利用的高质量报告”是奖励金额最高的一档。随着 Chrome 浏览器的威胁模型和功能的不断发展和成熟,以及新功能和新的缓解策略(如 MiraclePtr )的引入,谷歌一直对探索全新和独特的方法来完全利用 Chrome 浏览器并提供更好的激励机制表示关注。这些漏洞利用为我们提供了利用 Chrome 的潜在攻击途径的宝贵洞察,使我们能够识别出更好地加固特定 Chrome 功能的策略,并为未来的广泛缓解策略提供思路。

该奖励机会的全面细节可在 Chrome VRP 规则和奖励页面 上查看。概要如下:

  • 在此 180 天窗口期内,可以先提交漏洞报告,然后继续开发漏洞利用。功能性漏洞利用必须在 180 天窗口期结束前提交给 Chrome,才有资格获得三倍或两倍的奖励。
  • 全链路漏洞利用必须导致 Chrome 浏览器的沙箱逃逸,并且演示攻击者控制/在沙箱之外执行代码。
  • 漏洞利用必须能够远程执行,并且依赖用户交互非常有限或无需用户交互。
  • 漏洞利用必须在提交该链路中的漏洞的初始报告时,能在 Chrome 的一个活动发布渠道(Dev,Beta,Stable,Extended Stable)中发挥作用。请不要提交从公开披露的安全漏洞或 Chrome 旧版本中其他材料中开发的漏洞利用。

谷歌在声明中表示,如果漏洞利用允许在浏览器或其他高权限进程中进行远程代码执行(RCE),例如网络或 GPU 进程,从而导致无需第一阶段漏洞就可以逃逸沙箱,那么渲染器 RCE “配有功能性漏洞利用的高质量报告”的奖励金额将被授予,并包括在奖金奖励总额的计算中。

根据当前的 Chrome VRP 奖励矩阵,您的全链路漏洞利用可能使您获得超过 165,000 -180,000 美元的总奖励,这是首个全链路漏洞利用的奖励。在此奖励机会的六个月窗口期内,谷歌收到的后续全链路漏洞利用可能使您获得超过 110,000 – 120,000 美元的总奖励。

尽管这些看起来可能是给非合同工支付的令人瞠目结舌的一笔钱,但对谷歌来说,这个计划是相当成本效益的:即使是雇佣一名程序员,每年也常常需要花费公司数十万美元。更重要的是,网络攻击可能造成的财务和声誉损失,足以证明这种支出的合理性。在安全问题上,谷歌根本无法紧缩其财务预算。

谷歌对于 Chrome 安全研究社区的支持不断增强,这也体现在其对于漏洞报告的激励政策上。通过这种方式,谷歌希望鼓励更多的安全研究者参与到 Chrome 浏览器的安全性研究中,从而提升 Chrome 浏览器的安全性,造福所有用户。

谷饭原创编/译文章,作者:Luke,转载请注明出处来自谷饭,并加入本文链接: https://www.goofan.com/2023/06/google-increasing-rewards-for/

(0)
Luke的头像Luke谷饭作者
上一篇 2023年 6月 4日 下午5:08
下一篇 2023年 6月 5日 上午9:30

相关推荐

wechat
关注微信公众号