به مناسبت شانزدهمین سالگرد گوگل کروم و ۱۴ سالگی برنامه پاداش آسیب پذیری مرتبط با آن (VRP)، گوگل مجموعه ای از به روز رسانی ها را برای این طرح اعلام کرده است که برای جذب محققان امنیتی و آسیب پذیری برای به اشتراک گذاشتن جزئیات مشکلات پیش آمده طراحی شده است.
در یک پست وبلاگی توسط مهندس امنیت اطلاعات، امی رسلر، این طرح به عنوان در حال تکامل توصیف شده است "برای ایجاد انگیزه در گزارش گیری با کیفیت بالا و تحقیقات عمیق تر در مورد آسیب پذیری های کروم".
بهعنوان بخشی از بهروزرسانیها، Google تا 250000 دلار را برای اجرای کد از راه دور نشانداده شده در یک فرآیند غیر جعبهشناختی در دسترس قرار داده است.
گوگل امتیازات کروم VRP خود را افزایش می دهد
Ressler به اشتراک گذاشت: "اگر RCE در یک فرآیند غیر sandbox می تواند بدون مصالحه رندر به دست آید، واجد شرایط برای یک پاداش حتی بالاتر است که شامل پاداش RCE رندر می شود."
علاوه بر اشکالات خرابی حافظه، گوگل گزارش هایی در مورد آسیب پذیری های دیگر را نیز در نظر خواهد گرفت، با جوایزی از 1000 تا 30000 دلار بر اساس مقیاس تاثیرگذاری کمتر، متوسط و بالا.
این شرکت همچنین MiraclePtr را یک مرز امنیتی اعلامی در نظر میگیرد و باگهای محافظتشده توسط MiraclePtr در فرآیندهای غیر رندرکننده را از وضعیت اشکال امنیتی آنها حذف میکند. در نتیجه، از کروم 128، ارسال معتبر یک بای پس MiraclePtr میتواند تا 250128 دلار پاداش داشته باشد، که بیش از دو برابر 100،115 دلار موجود قبلی است.
گوگل تأیید کرد: «گزارشهایی که تأثیر امنیتی یا احتمال آسیب کاربر را نشان نمیدهند، یا صرفاً گزارشهایی از مسائل نظری یا حدسزنی هستند، بعید است که واجد شرایط دریافت پاداش VRP باشند».
با نگاهی به آینده، توسعهدهندگان کروم متعهد شدهاند که فرصتهای پاداش آزمایشی بیشتری را تحلیل کنند و برنامه آن را «برای خدمت بهتر به جامعه امنیتی» توسعه دهند.
علاوه بر این، گوگل در اوایل تابستان امسال بهروزرسانیهایی را برای سایر طرحهای خود ارائه کرد ، با برخی گزارشهای RCE که میتوانند بیش از 150000 دلار پاداش به همراه داشته باشند. در آن زمان، مهندسان امنیت اطلاعات Sam Erb و Krzysztof Kotowicz توضیح دادند که سیستمهای Google امنتر شدهاند، پس توسعهدهندگان باید واجد شرایط دریافت پاداشهای بالاتر باشند.
ارسال نظر