Google увеличила вознаграждение за обнаружение уязвимостей в Chrome до $250 тысяч
habr.comGoogle более чем вдвое увеличила выплаты за уязвимости безопасности браузера Chrome. Теперь максимальное вознаграждение за ошибку превышает $250 тысяч.Поисковый гигант будет дифференцировать уязвимости повреждения памяти в зависимости от качества отчёта и стремления исследователя найти все возможные пути влияние этой проблемы.«Пришло время развивать вознаграждения программы Chrome VRP, чтобы стимулировать выход высококачественных отчётов и более глубокие исследования уязвимостей», — отмечает инженер по безопасности Chrome Эми Ресслер.Больше всего исследователи получат за демонстрацию RCE в неизолированном процессе.
Если же баг работает без компрометации рендерера, то сумма вознаграждения вырастет.Компания также более чем удвоила размер вознаграждения за обходы MiraclePtr — до $250 тысяч.Google будет классифицировать отчёты следующим образом:низкое воздействие (низкий потенциал для эксплуатации, существенные предпосылки, низкий контроль со стороны злоумышленника, низкий риск/потенциал нанесения вреда пользователю);умеренное воздействие (умеренные предпосылки для эксплуатации, умеренная степень контроля со стороны злоумышленника);высокое воздействие (прямой путь к эксплуатации, очевидный и существенный вред для пользователя, удалённая эксплуатируемость, незначительные предпосылки для эксплуатации).Ранее в этом месяце Google объявила, что Программа вознаграждений за безопасность Play (GPSRP) закроется для подачи новых отчётов в конце этого месяца.В июле компания запустила программу kvmCTF для повышения безопасности гипервизора Kernel-based Virtual Machine (KVM).