Google bugün, Chrome web tarayıcısını hedef alan korumalı alan kaçış zinciri istismarlarını bildiren hata ödül avcılarının artık 1 Aralık 2023’e kadar standart ödülü üç katına çıkarabileceğini duyurdu.
Şirketin girişimi, güvenlik araştırmacılarını tehdit aktörlerinin Chrome tarayıcısının güvenlik mekanizmalarını tehlikeye atmasına yardımcı olabilecek güvenlik açıklarını belirlemeye ve bildirmeye teşvik etmeyi ve sonuçta yazılımın saldırılara karşı genel direncini artırmaya yardımcı olmayı amaçlıyor.
Chrome Güvenlik Açığı Ödül Programı bonusu, 1 Haziran’dan itibaren geçerlidir ve yalnızca ilk işlevsel tam zincirli istismar için geçerlidir.
Google, “Tam zincir istismarı, saldırgan kontrolünün / korumalı alanın dışında kod yürütmesinin gösterilmesiyle bir Chrome tarayıcı sanal alanından kaçışla sonuçlanmalıdır. İstismar senaryosu tamamen uzak olmalı ve açıktan yararlanma, uzaktaki bir saldırgan tarafından kullanılabilmelidir” diye açıklıyor Google. .
“Uygun tam zincir açıklardan yararlanmalar, ilk hata raporları sırasında Chrome’un Genişletilmiş Mevcut, Mevcut veya Beta sürümlerine karşı çalışmalıdır. Açıklardan yararlanma, hata çözüldükten sonra sağlanırsa, yalnızca Chrome gönderiminin üretim sürümlerine karşı çalışması gerekir orijinal raporun zamanında.”
Chrome VRP aracılığıyla gönderilen sonraki tam zincir açıklarından yararlanmalar da normal ödülü ikiye katlayacak önemli bir bonus alacak.
Katılımcılar, tam bir açık zinciri göndererek 180.000 ABD Dolarına varan, diğer bonuslarla potansiyel olarak daha da artırılan ve altı aylık gönderim penceresinin geri kalanında alınan diğer açıklardan yararlanma için 120.000 ABD Dolarına kadar ulaşan bir ödül alabilirler.
Chrome Güvenlik Ekibi Kıdemli Teknik Programı’ndan Amy Ressler, “Bu açıklardan yararlanmalar, Chrome’dan yararlanmaya yönelik potansiyel saldırı vektörleri hakkında bize değerli bilgiler sağlıyor ve belirli Chrome özelliklerini daha iyi sağlamlaştırma stratejilerini ve gelecekteki geniş ölçekli azaltma stratejileri için fikirleri belirlememizi sağlıyor” dedi. Müdür.
Son Google VRP gelişmeleri
Bugünkü duyuru, Google’ın Android uygulamalarında bulunan güvenlik kusurları için ödüller içeren yeni Mobil Güvenlik Açığı Ödül Programı’nın (Mobil VRP) Mayıs ayındaki lansmanını takip ediyor.
Ağustos ayında şirket, Bazel, Angular, Golang, Protocol buffers ve Fuchsia gibi projeler de dahil olmak üzere Google açık kaynaklı yazılımının en son yayınlanan sürümlerinde bildirilen hataların bedelini ödeyeceğini de duyurdu.
Google, 2010’daki başlangıcından bu yana Güvenlik Açığı Ödül Programı (VRP) aracılığıyla 15.000’den fazla güvenlik açığı bildiren araştırmacılara on yılı aşkın bir süredir 50 milyon dolardan fazla ödül dağıttı.
Yalnızca geçen yıl, Google, bir Android istismar zincirinin bir parçası olan beş güvenlik hatası dizisi için gzobqq’a rekor kıran 605.000 $ ödülle (Android VRP tarihinde şimdiye kadar ödüllendirilen en yüksek miktar) 12 milyon $ ödedi.
Aynı araştırmacı, geçen yıl başka bir kritik Android istismar zincirini bildirdi ve 157.000 dolarlık etkileyici bir ödeme daha kazandı.