Google大幅增加抓漏奖金,Chrome漏洞奖金提高3倍,Google Play漏洞奖励多4倍

发布于2019-07-22 16:50:22

导读: Google本周再度增加Chrome与GooglePlay的抓漏奖金,把Chrome漏洞的基本漏洞报告奖金最大值从5,000美元增加到1.5万美元,而GooglePlay的远端程

Google本周再度增加Chrome与Google Play的抓漏奖金,把Chrome漏洞的基本漏洞报告奖金最大值从5,000美元增加到1.5万美元,而Google Play的远端程式攻击漏洞奖金则从5,000美元提高到2万美元。

Chrome抓漏奖励专案依照不同的漏洞或攻击型态有规模不一的奖金,其中最大宗的是沙箱逃逸或内存毁损漏洞,原本相关漏洞的基本漏洞报告奖金最高只有5,000美元,现在的基本漏洞报告奖金则是从5,000美元起跳,最高可得1.5万美元。而高品质漏洞报告奖金为2万美元,若再加上攻击程式则是3万美元。

Google也明确定义了高品质报告(High-quality reports),表示它通常具备最小化的测试案例,能够清楚展示开采的容易度,可协助判断原因的分析,简短、流畅且只含必要细节,能协助工程师修补臭虫,还能建议修补方式等。

对于基本漏洞报告的要求则较低,只说它必须含有一个最小化的测试案例,或是来自fuzzer的结果,但不必证明可被开采,以及应提出漏洞所影响的Chrome版本。

此外,利用Google硬件来抓漏的Chrome Fuzzer 专案,也将找到漏洞的奖励从500美元提高到1,000美元。

而若能在访客模式下永久入侵Chromebook或Chromebox装置,则能获得高达15万美元的奖金,这是一个常设奖项,过去的奖金只有10万美元。

Google表示,自2010年发表Chrome抓漏奖励专案以来,总计收到超过8,500份漏洞报告,发出逾500万美元的奖金。

不只是Chrome漏洞的奖金变多了,Google Play的抓漏奖励专案也跟着加码,例如远端攻击程式漏洞的价码从5,000美元增加到2万美元,窃取私有资料漏洞的价码从1,000美元涨到3,000美元,存取受保护程式元件的价码也从1,000美元增加到3,000美元。

相关文章