通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

6月1日起,谷歌对Chrome的沙盒逃逸漏洞的奖金增加三倍

谷歌6月1日宣布,对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍,直至2023年12月1日。

该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞,最终帮助该软件增强抵御攻击的整体弹性。

Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效,只适用于首个功能性全链漏洞。

同时全链漏洞必须是导致Chrome浏览器沙盒逃逸,并在沙箱之外演示攻击者控制/代码执行。谷歌解释说:漏洞利用场景必须是完全远程的,并且漏洞利用能够被远程攻击者使用。

符合条件的全链漏洞必须在最初的漏洞报告时对Chrome的扩展稳定版、稳定版或测试版有效。如果该漏洞是在漏洞修复后提供的,那么它只需要在原始报告时对生产版本的Chrome浏览器起作用。

通过Chrome VRP提交的后续全链漏洞也将获得重大奖励,将是常规奖励的两倍。

通过提交一个全链漏洞,参与者可以获得高达18万美元的奖励,同时也有可能再获得其他奖金,而在六个月的窗口期提交的其他漏洞,最高可获得12万美元的奖励。

Chrome安全团队高级技术项目经理Amy Ressler说:这些漏洞使我们对利用Chrome浏览器的潜在攻击有了宝贵的了解,并使我们能够确定更好地加固Chrome功能的策略,以及未来安全实施的方向。

谷歌VRP的最新进展

本次公告是在5月份推出新的移动漏洞奖励计划(Mobile VRP)之后发布的,该计划对在谷歌Android应用程序中发现的安全漏洞进行奖励。

8月,该公司还宣布将为谷歌开源软件的最新发布版本提供漏洞奖金,包括Bazel、Angular、Golang、Protocol buffers和Fuchsia等项目。

十年来,谷歌已经通过其漏洞奖励计划(VRP)收获了超过15000个漏洞并支付了超过5000万美元的赏金。仅在去年,谷歌就支付了1200万美元,其中60.5万美元奖励给了gzobqq(这是安卓系统VRP历史上最高的奖励金额),用于奖励安卓系统漏洞链中的一系列五个安全漏洞。

参考链接:https://www.bleepingcomputer.com/news/google/google-triples-rewards-for-chrome-sandbox-escape-chain-exploits/

文章来自:https://www.freebuf.com/

相关文章