Google ha recentemente raddoppiato le ricompense per le falle di sicurezza di Google Chrome segnalate attraverso il suo Vulnerability Reward Program (VRP), con la ricompensa massima possibile per un singolo bug ora superiore a 250.000 dollari.
A partire da oggi, Google differenzierà le vulnerabilità di corruzione della memoria in base alla qualità del report e all’impegno del ricercatore nel trovare l’impatto completo dei problemi segnalati. Le ricompense varieranno significativamente, partendo da rapporti di base che dimostrano la corruzione della memoria di Chrome con tracce dello stack e una prova di concetto (con ricompense fino a 25.000 dollari), fino a un report di alta qualità che dimostra l’esecuzione di codice remoto (RCE) attraverso un exploit funzionale.
La ricompensa più alta per un singolo problema è ora di 250.000 dollari per un RCE dimostrato in un processo non sandboxato. Se l’RCE può essere raggiunto senza un compromesso del renderer, è idoneo per un importo ancora maggiore, includendo la ricompensa per l’RCE del renderer.
Google ha anche più che raddoppiato le ricompense per i bypass di MiraclePtr a 250.128 dollari, rispetto ai 100.115 dollari iniziali quando la ricompensa per il bypass di MiraclePtr è stata lanciata.
Le vulnerabilità sono ora classificate e premiate in base alla qualità del report, all’impatto e al potenziale danno per gli utenti di Chrome:
- Impatto basso: bassa potenzialità di sfruttamento, condizioni preliminari significative per lo sfruttamento, basso controllo da parte dell’attaccante, basso rischio/potenziale di danno per l’utente.
- Impatto moderato: condizioni preliminari moderate per lo sfruttamento, buon grado di controllo da parte dell’attaccante.
- Impatto elevato: percorso diretto verso lo sfruttamento, danno significativo dimostrabile per l’utente, sfruttabilità remota, basse condizioni preliminari per lo sfruttamento.
Google continuerà a esplorare opportunità di ricompensa più sperimentali e a evolvere il suo programma per servire meglio la comunità della sicurezza.
Dal lancio del suo VRP nel 2010, Google ha pagato oltre 50 milioni di dollari in ricompense per bug bounty a ricercatori di sicurezza che hanno segnalato più di 15.000 vulnerabilità e non solo per Google Chrome.
