O Google anunciou hoje que os caçadores de recompensas de bugs que relatam exploits de fuga de sandbox voltados para seu navegador da web Chrome agora são elegíveis para receber três vezes a recompensa padrão até 1º de dezembro de 2023.
A iniciativa da empresa tem como objetivo incentivar os pesquisadores de segurança a identificar e relatar vulnerabilidades que possam ajudar os atores de ameaças a comprometer os mecanismos de segurança do navegador Chrome, aumentando assim a resiliência geral do software contra ataques.
O bônus do Chrome Vulnerability Reward Program é efetivo a partir de hoje, 1º de junho, e se aplica apenas ao primeiro exploit completo funcional.
"O exploit completo da cadeia deve resultar em uma fuga de sandbox do navegador Chrome, com uma demonstração de controle / execução de código do invasor fora do sandbox.
O cenário de exploração deve ser completamente remoto e o exploit deve ser capaz de ser usado por um invasor remoto", explica o Google.
"Os exploits completos da cadeia elegíveis devem funcionar contra versões Extended Stable, Stable ou Beta do Chrome no momento dos relatórios iniciais de bugs.
Se o exploit for fornecido após a resolução do bug, ele só precisará funcionar contra as versões de produção do Chrome que estão sendo enviadas no momento do relatório original." Os subsequentes exploits completos da cadeia enviados através do Chrome VRP também receberão uma recompensa significativa que dobrará a recompensa regular.
Ao enviar um exploit completo da cadeia, os participantes podem receber uma recompensa de até US $ 180.000, potencialmente aumentada por outros bônus, e até US $ 120.000 por outros exploits recebidos ao longo do resto da janela de seis meses para envio.
"Esses exploits nos fornecem informações valiosas sobre os vetores de ataque potenciais para explorar o Chrome e nos permitem identificar estratégias para melhorar o endurecimento de recursos específicos do Chrome e ideias para futuras estratégias de mitigação em larga escala", disse Amy Ressler, gerente técnico sênior do Chrome Security Team.
O anúncio de hoje segue o lançamento do novo Mobile Vulnerability Rewards Program (Mobile VRP) em maio, que vem com recompensas por falhas de segurança encontradas nos aplicativos Android do Google.
Em agosto, a empresa também anunciou que pagaria por bugs relatados nas versões de software de código aberto mais recentes do Google, incluindo projetos como Bazel, Angular, Golang, Protocol buffers e Fuchsia.
Ao longo de uma década, o Google distribuiu mais de US $ 50 milhões em recompensas para pesquisadores que relataram mais de 15.000 vulnerabilidades por meio de seu Vulnerability Reward Program (VRP) desde sua criação em 2010.
Apenas no ano passado, o Google pagou US $ 12 milhões, com um recorde de US $ 605.000 concedido a gzobqq (a maior quantia já premiada na história do Android VRP) por uma série de cinco bugs de segurança que faziam parte de uma cadeia de exploração do Android.
O mesmo pesquisador relatou outra cadeia crítica de exploração do Android no ano anterior, recebendo outro impressionante pagamento de US $ 157.000.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...