Max Home IndustryGoogle снова увеличил сумму, которую готов выплатить хакерам, обнаружившим серьезные дыры в Chrome OS. В моде Google в качестве суммы заголовка используется математическая константа — на этот раз это e, что дает общий призовой фонд Pwnium этого года в размере 2,71828 миллионов долларов.
Pwnium 4 — это четвертый ежегодный конкурс хакеров Google, который пройдет в марте на конференции по безопасности CanSecWest в Ванкувере вместе с уже давно существующим конкурсом «Pwn2Own».
Для любого, кто озадачен именами участников, pwn означает взломать, а участник конкурса Pwn2Own получить возможность сохранить устройство, которое им удалось взломать, а также участвовать в соревнованиях за денежные призы. Pwnium — это игра на полном названии Google Chrome: Chromium.
Хотя общий призовой фонд Google установлен в размере 2,71828 миллиона долларов, полная сумма не обязательно будет выплачена.
Вознаграждение в размере 150 000 долларов будет выплачено за любой взлом через веб-страницу, которая позволит хакеру управлять компьютером с Chrome OS даже после его перезагрузки; и 110 000 долларов за аналогичные взломы, которые не сохраняются после перезагрузки.
Кроме того, в блоге Chromium говорится
В новинку этого года мы также рассмотрим значительные бонусы за демонстрацию особенно впечатляющего или удивительного подвига. Возможные примеры включают поражение kASLR, использование повреждения памяти в 64-битном процессе браузера или использование ядра непосредственно из процесса рендеринга.
Ссылка в предыдущем абзаце представляет собой статью на LWN.net о рандомизации макета адресного пространства ядра, методе, который был добавлен в Chrome OS, который усложняет эксплойты, размещая различные объекты по случайным, а не фиксированным адресам.
В то время как предыдущие соревнования были ограничены устройствами Chrome OS на базе Intel, в этом году исследователи могут выбирать между Chromebook на базе ARM, HP Chromebook 11 (WiFi) или Acer C720 Chromebook (2 ГБ WiFi) на базе Intel Haswell. микроархитектура. Хотя разработчики могут работать с виртуальными машинами, атака должна быть продемонстрирована на физическом устройстве, на котором установлена текущая на тот момент стабильная версия Chrome.
Для конкурса Pwnium результатом является полный эксплойт с объяснениями всех использованных отдельных ошибок (которые должны быть неизвестны); а эксплойты должны обслуживаться с аутентифицированного паролем и поддерживаемого HTTPS URL-адреса Google App Engine.
Участникам необходимо заранее зарегистрироваться на временной интервал, в котором будут демонстрироваться свои эксплойты, и только эксплойты, продемонстрированные в этом специально организованном окне, будут иметь право на вознаграждение. Регистрация, которая осуществляется по электронной почте pwnium4@chromium.org, закрывается в 17:00. Понедельник, 10 марта 2014 г., тихоокеанское стандартное время.
Pwn2Own также пройдет на CanSecWest с 12 по 14 марта, и его правила PWN2OWN на этот год будут объявлены в ближайшее время.