Google đã tăng đáng kể phần thưởng cho Chương trình Khen thưởng Lỗ hổng Chrome (VRP), cung cấp lên đến 250.000 USD cho các lỗi bảo mật nghiêm trọng. Bản cập nhật lớn này, trùng với kỷ niệm 16 năm của Chrome và sinh nhật thứ 14 của VRP, nhằm khuyến khích nghiên cứu bảo mật kỹ lưỡng hơn và báo cáo lỗ hổng chất lượng cao.
Những thay đổi chính trong Chrome VRP
- Tăng phần thưởng tối đa: Tiền thưởng cao nhất đã được tăng từ 40.000 USD lên 250.000 USD cho các lỗ hổng nghiêm trọng nhất.
- Tập trung vào lỗi memory corruption: Các nhà nghiên cứu có thể kiếm được phần thưởng tối đa bằng cách xác định lỗi memory corruption trong các quy trình không sandbox và chứng minh khả năng thực thi mã từ xa (RCE).
- Cấu trúc phần thưởng theo cấp bậc: Tiền thưởng thay đổi dựa trên mức độ nghiêm trọng và tác động của các lỗ hổng được phát hiện:
- Lên đến 90.000 USD cho việc chứng minh RCE trong môi trường kiểm soát
- Lên đến 35.000 USD cho các báo cáo memory corruption đang hoạt động
- Lên đến 85.000 USD cho memory corruption trong các quy trình có đặc quyền cao
- Lên đến 55.000 USD cho các lỗ hổng tương tự trong quy trình sandbox
Phần thưởng và tiền thưởng bổ sung
- Phần thưởng vượt qua MiraclePtr: Tăng từ 100.115 USD lên 250.128 USD
- Các lỗi bảo mật khác: Phần thưởng từ 1.000 USD đến 30.000 USD dựa trên tác động
- Tiền thưởng bổ sung: 1.000 USD cho việc xác định commit cụ thể đã gây ra lỗi
Một không gian làm việc kỹ thuật số hiện đại nhấn mạnh tính sáng tạo và bản chất định hướng công nghệ của các chương trình bảo mật của Google |
Nhấn mạnh vào chất lượng và tác động
Google nhấn mạnh rằng phần thưởng không được đảm bảo và phụ thuộc vào chất lượng của báo cáo ban đầu, thành phần phần mềm bị ảnh hưởng và các bài học tiềm năng cho công ty. Các báo cáo phải chứng minh rõ ràng tác động bảo mật hoặc khả năng gây hại cho người dùng để đủ điều kiện nhận phần thưởng.
Hướng tới tương lai
Như một phần trong cam kết phát triển chương trình, Google dự định khám phá thêm các cơ hội khen thưởng thử nghiệm trong tương lai. Bản cập nhật này phản ánh nỗ lực liên tục của công ty nhằm tăng cường bảo mật cho Chrome và tương tác sâu hơn với cộng đồng nghiên cứu bảo mật.
Đối với những người quan tâm đến việc tham gia hoặc tìm hiểu thêm về bảo vệ trực tuyến, Google khuyến khích xem xét hướng dẫn Chrome VRP và khám phá các dịch vụ bảo vệ danh tính và giám sát tín dụng uy tín.