Google a annoncé aujourd’hui que les chasseurs de primes de bogues qui signalent des exploits de chaîne d’échappement de bac à sable ciblant son navigateur Web Chrome sont désormais éligibles pour tripler la récompense standard jusqu’au 1er décembre 2023.
L’initiative de la société vise à encourager les chercheurs en sécurité à identifier et à signaler les vulnérabilités qui pourraient aider les pirates à compromettre les mécanismes de sécurité du navigateur Chrome, contribuant ainsi à améliorer la résilience globale du logiciel contre les attaques.
Le bonus du programme de récompense de vulnérabilité Chrome est effectif à partir d’aujourd’hui, le 1er juin, et ne s’applique qu’au premier exploit fonctionnel de la chaîne complète.
« L’exploit de la chaîne complète doit aboutir à un échappement du bac à sable du navigateur Chrome, avec une démonstration du contrôle de l’attaquant / de l’exécution du code en dehors du bac à sable. Le scénario d’exploit doit être entièrement distant et l’exploit doit pouvoir être utilisé par un attaquant distant », explique Google. .
« Les exploits de chaîne complète éligibles doivent fonctionner avec les versions stables étendues, stables ou bêta de Chrome au moment des rapports de bogue initiaux. Si l’exploit est fourni après la résolution du bogue, il ne doit fonctionner qu’avec les versions de production de Chrome. au moment du rapport initial. »
Les exploits ultérieurs de la chaîne complète soumis via le Chrome VRP recevront également un bonus important qui doublera la récompense régulière.
En soumettant un exploit de chaîne complète, les participants pourraient obtenir une récompense pouvant atteindre 180 000 $, potentiellement augmentée par d’autres bonus, et jusqu’à 120 000 $ pour les autres exploits reçus tout au long de la fenêtre de soumission de six mois.
« Ces exploits nous fournissent des informations précieuses sur les vecteurs d’attaque potentiels pour l’exploitation de Chrome et nous permettent d’identifier des stratégies pour mieux renforcer les fonctionnalités spécifiques de Chrome et des idées pour de futures stratégies d’atténuation à grande échelle », a déclaré Amy Ressler, responsable du programme technique de l’équipe de sécurité Chrome. Directeur.
Développements récents de Google VRP
L’annonce d’aujourd’hui fait suite au lancement du nouveau programme Mobile Vulnerability Rewards (Mobile VRP) en mai, qui s’accompagne de récompenses pour les failles de sécurité trouvées dans les applications Android de Google.
En août, la société a également annoncé qu’elle paierait pour les bogues signalés dans les dernières versions publiées des logiciels open source de Google, y compris des projets tels que Bazel, Angular, Golang, Protocol buffers et Fuchsia.
En une décennie, Google a versé plus de 50 millions de dollars en primes aux chercheurs qui ont signalé plus de 15 000 vulnérabilités via son Vulnerability Reward Program (VRP) depuis sa création en 2010.
Rien que l’année dernière, Google a payé 12 millions de dollars, avec une récompense record de 605 000 dollars à gzobqq (le montant le plus élevé jamais récompensé dans l’histoire d’Android VRP) pour une série de cinq bogues de sécurité faisant partie d’une chaîne d’exploitation Android.
Le même chercheur a signalé l’année précédente une autre chaîne d’exploitation Android critique, gagnant un autre paiement impressionnant de 157 000 $.