為了紀念 Google Chrome 誕生 16 週年及其相關漏洞獎勵計劃 (VRP) 14 週年,Google 宣布對該計劃進行一系列更新,旨在吸引安全和漏洞研究人員分享所出現問題的詳細資訊。
在資訊安全工程師 Amy Ressler 的部落格文章中,該計劃被描述為正在經歷一場演變,「以激勵高品質的報告和對 Chrome 漏洞的更深入研究」。
作為更新的一部分,Google 已提供高達 250,000 美元的資金用於在非沙盒進程中演示遠端程式碼執行。
Google增加了 Chrome VRP 獎勵
Ressler 分享道:“如果非沙盒進程中的 RCE 能夠在不影響渲染器的情況下實現,那麼它就有資格獲得更高的獎勵,其中包括渲染器 RCE 獎勵。”
除了記憶體損壞漏洞之外,谷歌還將考慮其他漏洞的報告,根據影響程度從低到高,獎勵從 1,000 美元到 30,000 美元不等。
該公司還將把 MiraclePtr 視為聲明性安全邊界,將非渲染器進程中受 MiraclePtr 保護的錯誤從其安全錯誤狀態中剝離出來。因此,從 Chrome 128 開始,有效提交 MiraclePtr 繞過可以返回高達 250,128 美元的獎勵,是之前可用的 100,115 美元的兩倍多。
谷歌證實:“未證明安全影響或對用戶造成潛在傷害的報告,或純粹是理論或推測問題的報告不太可能有資格獲得 VRP 獎勵。”
展望未來,Chrome 的開發人員致力於探索更多實驗性獎勵機會並不斷發展其計劃,「以更好地服務安全社區」。
此外,Google今年夏天早些時候推出了其他計劃的更新,一些 RCE 報告能夠帶來超過 15 萬美元的獎勵。當時,資訊安全工程師Sam Erb和Krzysztof Kotowicz解釋說,Google的系統已經變得更加安全,因此開發者應該有資格獲得更高的獎勵。