Google a plus que doublé les paiements pour les failles de sécurité de Google Chrome signalées via son programme de récompense de vulnérabilité, la récompense maximale possible pour un seul bogue dépassant désormais 250 000$.
À partir d’aujourd’hui, le géant de la recherche différenciera les vulnérabilités de corruption de mémoire en fonction de la qualité du rapport et de la volonté du chercheur de trouver le plein impact des problèmes signalés.
Les récompenses augmenteront considérablement des rapports de base démontrant la corruption de la mémoire Chrome avec des traces de pile et une preuve de concept (avec des récompenses allant jusqu’à 25 000 USD) à un rapport de haute qualité avec démonstration d’exécution de code à distance via un exploit fonctionnel.
« Il est temps de faire évoluer les récompenses et les montants du VRP Chrome pour fournir une structure améliorée et des attentes plus claires pour les chercheurs en sécurité qui nous signalent des bogues et pour inciter à des rapports de haute qualité et à des recherches plus approfondies sur les vulnérabilités de Chrome, en les explorant à leur plein impact et à leur potentiel d’exploitabilité », a déclaré Amy Ressler, ingénieur en sécurité de Chrome.
« Le montant de récompense potentiel le plus élevé pour une seule émission est maintenant de 250 000 $pour les RCE démontrés dans un processus non en bac à sable. Si l’ECR dans un processus non en bac à sable peut être atteint sans compromis de rendu, il est éligible à un montant encore plus élevé, pour inclure la récompense d’ECR de rendu. »
La société a également plus que doublé le montant des récompenses pour les contournements MiraclePtr, passant de 100 115 usd à 250 128 USD lors du lancement de la récompense de contournement MiraclePtr.
Google catégorise et récompensera également les rapports pour d’autres classes de vulnérabilités en fonction de leur qualité, de leur impact et des dommages potentiels pour les utilisateurs de Chrome comme suit:
- Impact moindre: faible potentiel d’exploitabilité, conditions préalables importantes à exploiter, faible contrôle de l’attaquant, faible risque / potentiel de préjudice pour l’utilisateur
- Impact modéré: conditions préalables modérées à exploiter, bon degré de contrôle de l’attaquant
- Impact élevé: chemin direct vers l’exploitabilité, nom d’utilisateur démontrable et significatif, exploitabilité à distance, faibles conditions préalables à exploiter
« Tous les rapports sont toujours éligibles aux récompenses bonus lorsqu’ils incluent les caractéristiques applicables. Nous continuerons d’explorer des opportunités de récompense plus expérimentales, similaires à la précédente Récompense d’exploitation de la chaîne complète, et de faire évoluer notre programme de manière à mieux servir la communauté de la sécurité », a ajouté Ressler.
« Les rapports qui ne démontrent pas l’impact sur la sécurité ou le potentiel de préjudice pour les utilisateurs, ou qui sont purement des rapports de problèmes théoriques ou spéculatifs sont peu susceptibles d’être éligibles à une récompense VRP. »
Plus tôt ce mois-ci, Google a également annoncé que son Programme de récompense de sécurité de jeu (GPSRP) fermera pour la soumission de nouveaux rapports à la fin de ce mois, le 31 août, en raison d’une « diminution du nombre de vulnérabilités exploitables signalées. »
En juillet, il a également lancé kvmCTF, un nouveau VRP dévoilé pour la première fois en octobre 2023 pour améliorer la sécurité de l’hyperviseur de machine virtuelle basé sur le noyau (KVM), offrant des primes de 250 000 for pour des exploits d’évasion de machine virtuelle complets.
Depuis le lancement de son Programme de récompense des vulnérabilités (VRP) en 2010, Google a versé plus de 50 millions de dollars en primes de bug aux chercheurs en sécurité qui ont signalé plus de 15 000 vulnérabilités.