6月1日起,谷歌对Chrome的沙盒逃逸漏洞的奖金增加三倍
2023-6-2 11:49:45 Author: www.freebuf.com(查看原文) 阅读量:20 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

谷歌6月1日宣布,对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍,直至2023年12月1日。

该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞,最终帮助该软件增强抵御攻击的整体弹性。

Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效,只适用于首个功能性全链漏洞。

同时全链漏洞必须是导致Chrome浏览器沙盒逃逸,并在沙箱之外演示攻击者控制/代码执行。谷歌解释说:漏洞利用场景必须是完全远程的,并且漏洞利用能够被远程攻击者使用。

符合条件的全链漏洞必须在最初的漏洞报告时对Chrome的扩展稳定版、稳定版或测试版有效。如果该漏洞是在漏洞修复后提供的,那么它只需要在原始报告时对生产版本的Chrome浏览器起作用。

通过Chrome VRP提交的后续全链漏洞也将获得重大奖励,将是常规奖励的两倍。

通过提交一个全链漏洞,参与者可以获得高达18万美元的奖励,同时也有可能再获得其他奖金,而在六个月的窗口期提交的其他漏洞,最高可获得12万美元的奖励。

Chrome安全团队高级技术项目经理Amy Ressler说:这些漏洞使我们对利用Chrome浏览器的潜在攻击有了宝贵的了解,并使我们能够确定更好地加固Chrome功能的策略,以及未来安全实施的方向。

谷歌VRP的最新进展

本次公告是在5月份推出新的移动漏洞奖励计划(Mobile VRP)之后发布的,该计划对在谷歌Android应用程序中发现的安全漏洞进行奖励。

8月,该公司还宣布将为谷歌开源软件的最新发布版本提供漏洞奖金,包括Bazel、Angular、Golang、Protocol buffers和Fuchsia等项目。

十年来,谷歌已经通过其漏洞奖励计划(VRP)收获了超过15000个漏洞并支付了超过5000万美元的赏金。仅在去年,谷歌就支付了1200万美元,其中60.5万美元奖励给了gzobqq(这是安卓系统VRP历史上最高的奖励金额),用于奖励安卓系统漏洞链中的一系列五个安全漏洞。

参考链接:https://www.bleepingcomputer.com/news/google/google-triples-rewards-for-chrome-sandbox-escape-chain-exploits/


文章来源: https://www.freebuf.com/news/368272.html
如有侵权请联系:admin#unsafe.sh