谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金

1935c17461a3411f69ec6fbbf7d24376.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌宣布称,即日起至2023年12月1日期间,猎洞人员如能在 Chrome web浏览器中报告沙箱逃逸利用链,则可获得三倍于标准赏金的奖励。

谷歌此举旨在鼓励安全研究员找到并报告可被攻击者用于攻陷 Chrome 浏览器安全机制的漏洞,从而助力增强软件弹性。

三倍赏金仅适用于在这半年期间首个提交起作用的完整攻击链的猎洞人员。谷歌解释称,“完整链利用必须可导致 Chrome 浏览器沙箱逃逸,并演示攻击者在沙箱外的控制/代码执行能力。利用场景必须是完全远程且exploit能够遭远程攻击者利用。符合条件的完整链利用必须在初始漏洞报告时适用于Chrome 的 Extended Stable、Stable 或 Beta 发布。如果利用是在漏洞修复后发布的,则仅需适用于原始报告提交时发布的 Chrome 生产版本。”

之后通过 Chrome VRP 提交完整链利用的猎洞人员将获得两倍赏金。

提交完整链利用,参与者可获得最高18万美元的赏金,还可能获得其它叠加赏金,而在此期间内非第一个提交完整链利用的参与人员最高可获得12万美元的赏金。

Chrome 安全团队高级技术计划经理 Amy Ressler 提到,“这些利用为我们提供了关于利用 Chrome 潜在攻击向量的有价值洞见,可使我们找到更好地加固特定 Chrome 特性的策略以及未来大规模缓解策略的理念。”

0b43dee815eec51600ce481b73d1b2b8.png

谷歌 VRP 发展动态

今年5月份,谷歌发布新的移动漏洞奖励计划(移动 VRP),奖励从谷歌安卓应用中发现漏洞的研究人员。

去年8月份,谷歌宣布将为从谷歌开源软件最新发布版本中找到漏洞的研究员颁发赏金。这些开源软件包括 Bazel、Angular、Golang、Protocl buffer 以及 Fuchsia。

自2010年起的十几年来,谷歌已通过 VRP向发现超过1.5万个漏洞的研究员颁发超过5000万美元的赏金。仅去年,谷歌就支付了1200万美元的赏金,其中最高赏金是支付给 发现安卓利用链的gzobqq 的60.5万美元。这名研究员之前也曾因发现安卓利用链而获得当时最高赏金15.7万美元。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

谷歌提高漏洞赏金,Chrome 赏金增加一倍不止

Chrome 紧急修复4个神秘的高危漏洞,并为其中2个颁发赏金4万美元

谷歌修复3个高危 Chrome 沙箱逃逸漏洞,为1人颁发5万美元奖励金

谷歌为Chrome漏洞发现者提供“上不封顶”奖励

原文链接

https://www.bleepingcomputer.com/news/google/google-triples-rewards-for-chrome-sandbox-escape-chain-exploits/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

e86146d27bf97950eb7d5aa92f673424.jpeg

617ed3d3d2bc04ca0753e374f35801fd.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1a8452cd6854cd9b0854f389d996d559.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值