Chrome: aumentate ricompense bug bounty fino a 250.000 dollari

Google ha più che raddoppiato i pagamenti per i bug di sicurezza di Chrome segnalati tramite il suo Vulnerability Reward Program. La ricompensa massima possibile per un singolo bug adesso supera i 250.000 dollari. Big G differenzierà le vulnerabilità di corruzione della memoria in base alla qualità del report. A questo si deve poi aggiungere la determinazione del ricercatore a scoprire l'impatto completo dei problemi segnalati. Le ricompense aumenteranno in modo significativo dai report di base, che dimostrano la corruzione della memoria di Chrome con stack trace e una proof-of-concept (con ricompense fino a 25.000 dollari), ai report di alta qualità con dimostrazione di esecuzione di codice remoto tramite un exploit funzionale.

Chrome: aumentate anche le ricompense per MiraclePtr

L'azienda ha anche più che raddoppiato gli importi delle ricompense per i bypass di MiraclePtr (il progetto per proteggere dalle vulnerabilità use-after-free in Chrome) da 100.115 dollari a 250.128 dollari. Google categorizza e premierà anche i report per altre classi di vulnerabilità in base alla loro qualità, impatto e potenziale danno per gli utenti di Chrome. In primis vi è l’impatto inferiore, ovvero basso potenziale di sfruttabilità, prerequisiti significativi per lo sfruttamento, basso controllo dell'attaccante, basso rischio/potenziale di danno per l'utente. L’impatto moderato include prerequisiti moderati per lo sfruttamento, discreto grado di controllo dell'attaccante. Infine, l’impatto elevato si caratterizza per un percorso diretto verso lo sfruttabilità, danno dimostrabile e significativo per l'utente, sfruttabilità remota, bassi prerequisiti per lo sfruttamento.

All'inizio di questo mese, Google ha anche annunciato che il suo Play Security Reward Program (GPSRP) chiuderà per l'invio di nuovi report il prossimo 31 agosto. Ciò a causa di una "diminuzione del numero di vulnerabilità segnalate su cui è possibile intervenire". Google ha anche recentemente lanciato kvmCTF, un nuovo VRP il cui scopo è quello di migliorare la sicurezza dell'hypervisor Kernel-based Virtual Machine (KVM). L’azienda offre infatti ricompense da 250.000 dollari per exploit di escape VM completi. Da quando ha lanciato il suo Vulnerability Reward Program (VRP) nel 2010, Google ha pagato oltre 50 milioni di dollari in ricompense bug bounty ai ricercatori di sicurezza che hanno segnalato più di 15.000 vulnerabilità.