Google, popüler Chrome tarayıcısının işlevsel bir tam zincir istismarını içeren ilk güvenlik hatası raporu için tam ödül miktarını üçe katladı.
Bir Chrome tam zincir istismarı için altı aylık daha yüksek ödüller
1 Haziran’da başlayan Chrome Güvenlik Açığı Ödül Programı, 1 Aralık 2023’e kadar sürecek. Bu süre zarfında, Chrome’dan tam olarak yararlanmak için zincirlenebilecek güvenlik açıklarını bildiren hata avcıları 180.000 ABD dolarına kadar para kazanabilir.
Araştırmacıları daha fazla teşvik etmek için Google, ek bir ödül yapısı uygulamıştır. Hata avcıları, sonraki tam zincir istismarları gönderirken 120.000$’a kadar kazanma fırsatı elde edecek.
Chrome Güvenlik Ekibi’nden Amy Ressler, “Chrome tarayıcıdan tam anlamıyla yararlanmaya yönelik yeni ve orijinal yaklaşımların keşfedilmesiyle her zaman ilgileniyoruz ve bu tür araştırmaları daha iyi teşvik etmek için fırsatlar sağlamak istiyoruz” dedi.
“Bu açıklardan yararlanmalar, Chrome’dan yararlanmaya yönelik potansiyel saldırı vektörleri hakkında bize değerli bilgiler sağlıyor ve belirli Chrome özelliklerini daha iyi sağlamlaştıracak stratejiler ve gelecekteki geniş ölçekli hafifletme stratejileri için fikirler belirlememize olanak tanıyor.”
Bu ödüllere nasıl hak kazanılır?
Bu ödüllere hak kazanmak için, gönderilen istismarların Google tarafından belirtilen belirli kriterleri karşılaması gerekir.
Ressler, “Tam zincir istismarı, bir Chrome tarayıcı sanal alanından kaçışla sonuçlanmalı ve saldırgan kontrolünün / korumalı alanın dışında kod yürütmesinin gösterilmesiyle sonuçlanmalıdır” dedi.
Gönderilen açıktan yararlanma, uzaktan gerçekleştirilebilmeli ve kullanıcı etkileşimine hiç veya çok sınırlı bir şekilde güvenilmeli ve “ilk raporların yapıldığı sırada Chrome’un etkin bir sürüm kanalında (Dev, Beta, Stable, Extended Stable) işlevsel olmalıdır” o zincirdeki böceklerin.”
Kamuya açıklanan güvenlik açıklarından geliştirilen ve/veya Chrome’un eski sürümlerinde bulunan istismarlar uygun değildir.