Apesar de ter acabado com o programa de recompensas por falhas em apps populares, a Google pode agora oferecer mais de 250 mil dólares por vulnerabilidades graves no Chrome.
Recentemente a Google encerrou o programa de recompensas por apps populares na Play Store, que tinha lançado em 2017. Embora insperado, isso não significa que a Google deixe de recompensar os investigadores que encontrem falhas graves nos seus próprios produtos; pelo contrário.
A Google aumentou significativamente as recompensas por falhas de segurança encontradas no Chrome, com a recompensa máxima para um único bug a poder ultrapassar os $250,000. Este aumento faz parte do Programa de Recompensas por Vulnerabilidades (VRP) da Google, que existe desde 2010 para incentivar os investigadores a reportarem vulnerabilidades.
A partir de agora, a Google vai distinguir entre diferentes tipos de vulnerabilidades de corrupção de memória, dependendo da qualidade dos relatórios e da investigação efectuada. Relatórios básicos que incluam rastreamentos de pilha e provas de conceito para a corrupção de memória no Chrome podem render até $25,000. No entanto, relatórios de alta qualidade que demonstrem execução remota de código (RCE) através de um exploit funcional serão elegíveis para recompensas muito mais elevadas. A recompensa máxima para um único problema é agora de $250,000 por RCE demonstrado num processo fora da sandbox, com recompensas ainda maiores possíveis se o RCE não comprometer o renderer do browser. Além disso, a Google mais do que duplicou as recompensas para bypasses da funcionalidade de segurança MiraclePtr, aumentando o pagamento de 100 mil para 250 mil dólares.
A Google também lançou nova iniciativa VRP para o hypervisor Kernel-based Virtual Machine (KVM), que também pode valer recompensas de até $250,000 por falhas que permitam escapar para fora da máquina virtual.
Desde o início do programa VRP, a Google já atribuiu mais de $50 milhões a investigadores que identificaram mais de 15,000 vulnerabilidades - vulnerabilidades essas que, de outra forma, poderiam ter sido postas à venda para uso por hackers ou empresas que as utilizam para serviços de espionagem.
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)