Max Home IndustryGoogle удвоил вознаграждение за постоянную компрометацию Chromebook в гостевом режиме. Он также представил новую награду за обход функций защиты загрузки Chrome Safe Browsing.
Существующие вознаграждения Google за взлом Chrome не изменились с того момента, когда мы в последний раз сообщали о них, и вместе с новым вознаграждением в его последней строке указаны в этой таблице.
[1] Высококачественный отчет с надежным эксплойтом, демонстрирующий, что обнаруженная ошибка может быть легко, активно и надежно использована против пользователей. [2] Отчет, включающий свернутый тестовый пример и версии Chrome, затронутые ошибкой. Вы также продемонстрируете, что использование этой уязвимости весьма вероятно (например, хороший контроль над EIP или другим регистром ЦП). Ваш отчет должен быть кратким и хорошо написанным, содержать только необходимые детали и комментарии. [3] Присутствует минимизированный тестовый пример или вывод фаззера, который указывает на ошибку безопасности. [4] Отчет, представленный только с аварийным дампом, без Proof of Concept (PoC) или с PoC низкого качества (например, дамп нечеткого файла размером 1 МБ без попытки сокращения), который позже подтверждается как законная проблема. [5] Выход из любого уровня песочницы (включая песочницу NaCl) будет рассматриваться как выход из песочницы.
[6] Размещение тестового двоичного файла из черного списка на диске, где обычный пользователь может его запустить, на Mac или Windows. Тип файла на диске должен приводить к выполнению кода без изолированной программной среды после минимального взаимодействия пользователя с файлом.
Программа Google Security Reward является успешной как для Google, так и для исследователей в области безопасности, поскольку указывает на то, что с момента ее запуска в 2010 году более чем 300 получателям было выплачено более 6 миллионов долларов, при этом в прошлом году было выплачено более 750 выплат на общую сумму более 2 миллионов долларов.
Однако с тех пор, как Google ввел вознаграждение в размере 50 000 долларов за взлом Chromebook, никто не сделал успешной заявки, что побудило Google удвоить предлагаемую сумму до 100 000 долларов. Это доступно круглый год без квот и без максимального пула вознаграждения за компрометацию Chromebook или Chromebox с сохранением устройства в гостевом режиме (т. Е. С сохранением гостя для гостя с промежуточной перезагрузкой, доставляемой через веб-страницу).
Это увеличенное вознаграждение отражает тот факт, что Chrome становится все труднее взломать. На прошлой неделе на Pwn2Own он был признан самым безопасным веб-браузером. Одна атака на него не удалась, а другая была успешной, в ней использовалась уязвимость, о которой уже сообщалось.