Google, güvenlik açığı ödül programı aracılığıyla bildirilen Google Chrome Güvenlik Kusurları için iki katından fazla ödemeye sahiptir ve şu anda 250.000 doları aşan tek bir hata için mümkün olan maksimum ödül.
Bugünden başlayarak, arama devi, raporun kalitesine ve araştırmacının rapor edilen sorunların tam etkisini bulma dürtüsüne bağlı olarak hafıza yolsuzluğu güvenlik açıklarını ayırt edecektir.
Ödüller, yığın izleri ve konsept kanıtı (25.000 $ 'a kadar ödüllerle), fonksiyonel bir istismar yoluyla uzaktan kod yürütme gösterisi ile yüksek kaliteli bir rapora kadar krom bellek bozulmasını gösteren temel raporlardan önemli ölçüde artacaktır.
"Krom VRP ödüllerini geliştirmenin zamanı geldi ve güvenlik araştırmacıları için hata bildiren güvenlik araştırmacıları için gelişmiş bir yapı ve daha net beklentiler sunmanın ve krom güvenlik açıklarının daha derin araştırmalarını teşvik etme, bunları tam etki ve sömürülebilirlik potansiyellerini araştırmalarını teşvik etme zamanı geldi. "Dedi Chrome Güvenlik Mühendisi Amy Ressler.
"Tek bir sorun için en yüksek potansiyel ödül miktarı, sandık olmayan bir işlemde gösterilen RCE için 250.000 dolar. Renderer RCE Ödülünü ekleyin. "
Şirket ayrıca MiraclePtr bypass ödülü piyasaya sürüldüğünde 100.115 $ 'dan MiraclePtr bypass için iki kat daha fazla ödül tutarını 250.128 $' a yükseltti.
Google ayrıca, Chrome kullanıcılarına kalite, etkisi ve potansiyel zararlarına bağlı olarak diğer güvenlik açıkları sınıfları için raporları sınıflandırır ve ödüllendirir:
Ressler, "Tüm raporlar, geçerli özellikleri içerdiklerinde bonus ödüller için uygundur. Önceki tam zincir istismar ödülüne benzer şekilde daha deneysel ödül fırsatlarını araştırmaya devam edeceğiz ve programımızı güvenlik topluluğuna daha iyi hizmet verecek şekilde geliştireceğiz." .
"Güvenlik etkisi veya kullanıcı zararı potansiyeli göstermeyen veya tamamen teorik veya spekülatif konuların raporları olan raporlar, bir VRP ödülü için uygun değildir."
Bu ayın başlarında Google, "Play Security Ödül Programının (GPSRP) 31 Ağustos'ta" bildirilen eyleme geçirilebilir güvenlik açıklarının sayısındaki azalma "nedeniyle bu ayın sonunda yeni raporların gönderilmesi için kapanacağını duyurdu.
Temmuz ayında, ilk olarak Ekim 2023'te Çekirdek Tabanlı Sanal Makine (KVM) hipervizörünün güvenliğini artırmak için yeni bir VRP olan KVMCTF'yi başlattı ve tam VM kaçış istismarları için 250.000 dolarlık ödüller sundu.
Güvenlik Açığı ödül programını (VRP) 2010 yılında başlattığından beri Google, 15.000'den fazla güvenlik açığı bildiren güvenlik araştırmacılarına 50 milyon doların üzerinde hata ödül ödülü ödedi.
Google, 151 bin dolara kadar beş kez böcek ödüllerini artırır
Google şimdi KVM sıfır gün güvenlik açıkları için 250.000 dolar ödüyor
Google Chrome, en sevdiğiniz web sitesine para göndermenize izin verecek
Samsung, Galaxy’nin Güvenli Kasası'ndaki RCE için 1.000.000 dolar ödeyecek
Google Chrome Bug Breaks Downloads Bubble'dan Drag ve Drop
Kaynak: Bleeping Computer