Principais conclusões
- O Google pagou mais de US$ 59 milhões a caçadores de recompensas por encontrar vulnerabilidades no Chrome desde 2010.
- A estrutura de recompensas do Chrome VRP foi reformulada para oferecer pagamentos mais altos para diferentes classes de vulnerabilidade.
- A estrutura de recompensas atualizada do Google agora inclui categorias separadas para problemas de corrupção de memória e outras vulnerabilidades com base em seu impacto.
O Programa de Recompensa de Vulnerabilidade do Chrome (VRP) do Google começou há mais de uma década, em 2010, e desde então a empresa pagou aos caçadores de recompensas mais de US$ 59 milhões em pagamentos cumulativos.
Uma grande parte desse valor foi paga em 2023, quando o Google recompensou mais de US$ 10 milhões em pagamentos a “mais de 600 pesquisadores baseados em 68 países”. No entanto, à medida que o Chrome evolui, as vulnerabilidades também evoluem e, em um esforço para recompensar melhor os pesquisadores de segurança e caçadores de recompensas, o Google está introduzindo uma estrutura de recompensa reformulada.
“É hora de evoluir as recompensas e valores do Chrome VRP para fornecer uma estrutura melhorada e expectativas mais claras para pesquisadores de segurança que nos relatam bugs e para incentivar relatórios de alta qualidade e pesquisas mais profundas sobre vulnerabilidades do Chrome, explorando-as em todo o seu impacto e potencial de exploração”, diz a atualização do Google.
A mudança mais importante que está sendo implementada é a separação de problemas de corrupção de memória de outras classes de vulnerabilidade, com a vulnerabilidade agora falhando nas seguintes categorias:
Erros de corrupção de memória
- Relatório de alta qualidade com demonstração de RCE
- Relatório de alta qualidade demonstrando gravação controlada
- Relatório de alta qualidade sobre corrupção de memória
- Linha de base
De acordo com a gigante da tecnologia, as recompensas para relatórios de linha de base permanecerão consistentes. Outras categorias, no entanto, agora oferecerão recompensas maiores, com a maior recompensa potencial sendo $ 250.000 para uma execução remota de código (RCE) em um processo não sandbox. Isso supera o pagamento máximo atual de $ 100.115 para um bypass MiraclePtr por um fator de mais de dois.
|
Relatório de alta qualidade com demonstração de RCE |
Relatório de alta qualidade demonstrando gravação controlada |
Relatório de alta qualidade de corrupção de memória demonstrada |
Linha de base |
|
|
Corrupção de memória / RCE em um processo não sandbox |
Até $ 250.000 |
Até $ 90.000 |
Até $ 35.000 |
Até $ 25.000 |
|
Corrupção de memória / RCE em um processo altamente privilegiado (por exemplo, GPU ou processos de rede) |
Até $ 85.000 |
Até $ 70.000 |
Até $ 15.000 |
Até $ 10.000 |
|
Corrupção de memória / RCE em um processo em sandbox (por exemplo, processo de renderização) |
Até $ 55.000 |
Até $ 50.000 |
Até $ 10.000 |
Até $ 7.000 |
Recompensas por outras vulnerabilidades
Outras classes de vulnerabilidade também foram ajustadas, com o Google considerando fatores como o impacto das vulnerabilidades, a facilidade de exploração e o grau de controle que o invasor pode ter sobre o processo de exploração.
Diferentemente dos bugs de corrupção de memória, o Google também está categorizando outras vulnerabilidades com base em seu impacto.
|
Alta qualidade e alto impacto |
Alta qualidade e impacto moderado |
Linha de base || Impacto mais baixo |
|
|
UXSS || Bypass de isolamento do site |
Até $ 30.000 |
Até $ 20.000 |
Até $ 10.000 |
|
Spoofing de IU de segurança |
Até $ 10.000 (US$ 7.500 anteriormente) |
Até $ 5.000 (N/A anteriormente) |
Até $ 3.000 (US$ 3.000 anteriormente) |
|
Divulgação de informações do usuário |
Até $ 25.000 (US$ 20.000 anteriormente) |
Até $ 10.000 (N/A anteriormente) |
Até $ 2.000 (o mesmo de antes) |
|
Escalada de privilégios locais |
Até $ 15.000 |
Até $ 5.000 |
Até $ 2.000 |
|
Escalação de privilégios da plataforma web |
Até $ 7.000 ($5.000 anteriormente) |
Até $ 4.000 (US$ 3.000 anteriormente) |
Até $ 1.000 (o mesmo de antes) |
|
Bypass de mitigação de exploração |
Até $ 5.000 (o mesmo de antes) |
Até $ 4.000 (US$ 3.000 anteriormente) |
Até $ 1.000 (o mesmo de antes) |
Todas as recompensas de bônus, incluindo Bisect Bonus, Patch Bonus e Fuzzer Bonus, permanecem ativas e consistentes. A gigante da tecnologia sugeriu que continuaria explorando mais oportunidades de recompensas experimentais, semelhantes ao Full Chain Exploit Bonus anterior.
