.
O Programa de Recompensas por Vulnerabilidades do Chrome (VRP) do Google agora é significativamente mais recompensador, com um pagamento máximo que é pelo menos duas vezes maior.
Citando o desafio de encontrar bugs consequentes e exploráveis em seu navegador Chrome após 16 anos de lançamento, Amy Ressler, engenheira de segurança da informação na Chocolate Factory, explicou que era hora de repensar as recompensas do Chrome VRP para incentivar relatórios de bugs de maior qualidade e pesquisas mais profundas sobre as vulnerabilidades do Chrome.
A abordagem do Google, de acordo com Ressler, reflete um afastamento de uma lista de recompensas específicas que separou problemas de corrupção de memória de outras classes de vulnerabilidades. Nos últimos anos, a segurança da memória se tornou uma prioridade da indústria e do governo porque a maioria dos bugs significativos em grandes bases de código C++ como o Chrome são devidos a falhas como use-after-free e estouros de buffer.
A nova estrutura de recompensa do Google para bugs de corrupção de memória se concentra em quatro categorias de vulnerabilidade: relatório de alta qualidade com demonstração de execução remota de código (RCE); relatório de alta qualidade demonstrando gravação controlada em um local de memória arbitrário; relatório de alta qualidade de corrupção de memória; e um relatório de base consistindo de um rastreamento de pilha e código de exploração de prova de conceito.
“Embora os valores de recompensa para relatórios de base de corrupção de memória permaneçam consistentes, aumentamos os valores de recompensa nas outras categorias com o objetivo de incentivar pesquisas mais profundas sobre as consequências completas de um determinado problema”, disse Ressler. “O maior valor potencial de recompensa para um único problema é agora de US$ 250.000 para RCE demonstrado em um processo não sandbox.”
E obter RCE em um processo não sandbox, sem comprometer o renderizador, qualifica-se para uma quantia maior, para capturar a recompensa RCE do renderizador.
Outras classes de vulnerabilidades, para um relatório de alta qualidade sobre um bug de alto impacto, chegam a US$ 30.000 para um bypass de isolamento de UXSS/site.
Depois, há o prêmio por ignorar o MiraclePtr – um mecanismo para proteger contra corrupção de memória use-after-free. Basicamente, ele implementa um contador de referência que bloqueia a reutilização de memória liberada/liberada quando positiva e a libera ao atingir zero.
O lançamento do MiraclePtr nos canais de lançamento ativos do Chrome no ano passado significou que bugs mitigados pelo MiraclePtr em processos não renderizadores foram considerados substancialmente mitigados. Mas ser capaz de ignorar a proteção do MiraclePtr foi considerado digno de uma recompensa especial no valor de $100.115.
Com a chegada do Chrome 128, Ressler diz que bugs protegidos por MiraclePtr em processos não renderizadores nem valem a pena serem considerados bugs de segurança. Então agora o Google considera MiraclePtr um limite de segurança declarativo e, portanto, é elegível para uma recompensa que reflete a seriedade de cruzar essa linha: US$ 250.128.
Então, de acordo com a documentação do Google, um novo bug de corrupção de memória do tipo use-after-free que demonstra um desvio do MiraclePtr com um exploit funcional de alto impacto e uma redação de alta qualidade pode render US$ 500.128.
Comece a caçar. ®
.
