Google, Güvenlik Açığı Ödül Programı kapsamında bildirilen Google Chrome güvenlik açıkları için yaptığı ödemeleri iki katından fazla artırdı; artık tek bir hata için verilebilecek en yüksek ödül 250.000 doları aşıyor.
Arama devi, bugün itibarıyla raporun kalitesine ve araştırmacının bildirilen sorunların tam etkisini bulma çabasına bağlı olarak bellek bozulması güvenlik açıklarını ayırt edecek.
Ödüller, yığın izleri ve kavram kanıtıyla Chrome bellek bozulmasını gösteren temel raporlardan (25.000 dolara kadar ödül) işlevsel bir istismar yoluyla uzaktan kod yürütme gösterimi içeren yüksek kaliteli bir rapora kadar önemli ölçüde artacaktır.
Chrome Güvenlik Mühendisi Amy Ressler, “Güvenlik araştırmacılarının bize hata bildirmeleri durumunda daha iyi bir yapı ve daha net beklentiler sağlamak, Chrome güvenlik açıklarının tam etkilerini ve istismar potansiyellerini inceleyerek yüksek kaliteli raporlama ve daha derinlemesine araştırma yapılmasını teşvik etmek için Chrome VRP ödüllerini ve miktarlarını geliştirmenin zamanı geldi” dedi.
“Tek bir sorun için en yüksek potansiyel ödül miktarı artık kum havuzu olmayan bir süreçte gösterilen RCE için 250.000 dolardır. Kum havuzu olmayan bir süreçteki RCE, bir renderer uzlaşması olmadan elde edilebiliyorsa, renderer RCE ödülünü de içerecek şekilde daha da yüksek bir miktara hak kazanır.”
Şirket ayrıca MiraclePtr Bypass Ödülü başlatıldığında MiraclePtr bypass ödül miktarını 100.115 dolardan 250.128 dolara çıkardı.
Google ayrıca, Chrome kullanıcılarına yönelik kalite, etki ve potansiyel zararlarına bağlı olarak diğer güvenlik açığı sınıflarına ilişkin raporları da kategorilere ayırır ve ödüllendirir:
- Daha düşük etki: istismar edilebilirlik potansiyeli düşük, istismar için önemli ön koşullar, saldırgan kontrolü düşük, kullanıcıya zarar verme riski/potansiyeli düşük
- Orta düzeyde etki: istismar için orta düzeyde ön koşullar, saldırganın makul düzeyde kontrolü
- Yüksek etki: istismara giden basit yol, kanıtlanabilir ve önemli kullanıcı zararı, uzaktan istismar, istismar için düşük ön koşullar
Ressler, “Tüm raporlar, geçerli özellikleri içerdiklerinde hala bonus ödülleri almaya uygundur. Önceki Tam Zincir Saldırı Ödülüne benzer şekilde daha deneysel ödül fırsatlarını keşfetmeye devam edeceğiz ve programımızı güvenlik topluluğuna daha iyi hizmet edecek şekilde geliştireceğiz” diye ekledi.
“Güvenlik etkisini veya kullanıcıya zarar verme potansiyelini göstermeyen veya tamamen teorik veya varsayımsal sorunlara ilişkin raporlar VRP ödülüne hak kazanma olasılığı düşüktür.”
Google, bu ayın başlarında ayrıca Play Güvenlik Ödül Programı’nın (GPSRP) “bildirilen eyleme dönüştürülebilir güvenlik açıklarının sayısındaki azalma” nedeniyle 31 Ağustos’ta yeni rapor gönderimlerine kapatılacağını duyurdu.
Temmuz ayında ayrıca, Çekirdek tabanlı Sanal Makine (KVM) hipervizörünün güvenliğini iyileştirmek için ilk kez Ekim 2023’te duyurulan yeni bir VRP olan kvmCTF’yi de piyasaya sürdü ve tam VM kaçış istismarları için 250.000 ABD doları ödül teklif etti.
Google, 2010 yılında Güvenlik Açığı Ödül Programı’nı (VRP) başlattığından beri 15.000’den fazla güvenlik açığı bildiren güvenlik araştırmacılarına 50 milyon dolardan fazla hata ödülü ödedi.