グーグルは、同社の脆弱性報奨プログラムを通じて報告されたグーグル・クロームのセキュリティ欠陥に対する報奨金を2倍以上に増額し、1件のバグに対する報奨金の上限を25万ドル以上に引き上げた。
本日より、検索大手のグーグルは、報告の質と報告された問題の完全な影響を見つけようとする研究者の意欲に応じて、メモリ破損の脆弱性を区別する。
報酬は、スタック・トレースと概念実証によって Chrome のメモリ破壊を実証するベースライン報告(報酬は最高 25,000 ドル)から、機能的なエクスプロイトによってリモート・コード実行を実証する高品質な報告へと大幅に増加します。
「Chrome VRPの報酬と金額を進化させ、セキュリティ研究者がバグを報告する際の仕組みを改善し、より明確な期待値を提供することで、Chromeの脆弱性に関する質の高い報告やより深い研究を奨励し、その影響や悪用の可能性を最大限に調査する時期に来ています」と、Chromeセキュリティエンジニアのエイミー・レスラーは述べています。
「1つの問題に対する最高報酬額は、サンドボックス化されていないプロセスでRCEが実証された場合、25万ドルになります。サンドボックス化されていないプロセスで、レンダラーが侵害されることなく RCE が達成された場合は、レンダラーの RCE 報酬を含め、さらに高額な報酬を受け取ることができます。
同社はまた、MiraclePtrバイパスに対する報奨金額を、MiraclePtr バイパス報奨が開始されたときの 100,115 ドルから 250,128 ドルに倍以上に引き上げました。
Googleはまた、他のクラスの脆弱性報告についても、その質、影響度、Chromeユーザーへの潜在的な被害に応じて、以下のように分類し、報奨金を支払うとしている:
- 影響度が低い:悪用される可能性が低い、悪用するための前提条件が重要、攻撃者のコントロールが低い、ユーザーに危害が及ぶリスクや可能性が低い。
- 影響が中程度:悪用するための前提条件が中程度、攻撃者がコントロールできる範囲が中程度
- 影響度大:悪用可能性への道筋が明確で、ユーザへの被害が大きく、リモートで悪用可能で、悪用するための前提条件が低い。
「該当する特性が含まれている場合、すべてのレポートがボーナス報酬の対象となります。私たちは、以前のフルチェーン・エクスプロイト報酬と同様に、より実験的な報酬の機会を模索し続け、セキュリティ・コミュニティにより良いサービスを提供できるよう、プログラムを進化させていきます。
「セキュリティへの影響やユーザーへの危害の可能性を実証していない報告や、純粋に理論的または推測的な問題の報告は、VRP報奨の対象となる可能性は低い。
今月初め、Googleは、Play Security Reward Program(GPSRP)が、“対処可能な脆弱性の報告件数の減少“を理由に、今月末の8月31日をもって新規報告の受付を終了することも発表した。
また、7月には、カーネルベースの仮想マシン(KVM)ハイパーバイザーのセキュリティを向上させるために、2023年10月に初めて発表された新しいVRPであるkvmCTFを開始し、完全なVMエスケープの悪用に対して25万ドルの報奨金を提供する。
2010年に脆弱性報奨プログラム(VRP)を開始して以来、グーグルは15,000件以上の脆弱性を報告したセキュリティ研究者に5,000万ドル以上のバグ報奨金を支払ってきた。
Comments