谷歌6月1日宣布,对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍,直至2023年12月1日。
该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞,最终帮助该软件增强抵御攻击的整体弹性。
Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效,只适用于首个功能性全链漏洞。
同时全链漏洞必须是导致Chrome浏览器沙盒逃逸,并在沙箱之外演示攻击者控制/代码执行。谷歌解释说:漏洞利用场景必须是完全远程的,并且漏洞利用能够被远程攻击者使用。
符合条件的全链漏洞必须在最初的漏洞报告时对Chrome的扩展稳定版、稳定版或测试版有效。如果该漏洞是在漏洞修复后提供的,那么它只需要在原始报告时对生产版本的Chrome浏览器起作用。
通过Chrome VRP提交的后续全链漏洞也将获得重大奖励,将是常规奖励的两倍。
通过提交一个全链漏洞,参与者可以获得高达18万美元的奖励,同时也有可能再获得其他奖金,而在六个月的窗口期提交的其他漏洞,最高可获得12万美元的奖励。
Chrome安全团队高级技术项目经理Amy Ressler说:这些漏洞使我们对利用Chrome浏览器的潜在攻击有了宝贵的了解,并使我们能够确定更好地加固Chrome功能的策略,以及未来安全实施的方向。
谷歌VRP的最新进展
本次公告是在5月份推出新的移动漏洞奖励计划(Mobile VRP)之后发布的,该计划对在谷歌Android应用程序中发现的安全漏洞进行奖励。
8月,该公司还宣布将为谷歌开源软件的最新发布版本提供漏洞奖金,包括Bazel、Angular、Golang、Protocol buffers和Fuchsia等项目。
十年来,谷歌已经通过其漏洞奖励计划(VRP)收获了超过15000个漏洞并支付了超过5000万美元的赏金。仅在去年,谷歌就支付了1200万美元,其中60.5万美元奖励给了gzobqq(这是安卓系统VRP历史上最高的奖励金额),用于奖励安卓系统漏洞链中的一系列五个安全漏洞。
参考链接:https://www.bleepingcomputer.com/news/google/google-triples-rewards-for-chrome-sandbox-escape-chain-exploits/
文章来自:https://www.freebuf.com/
