导读 Google为普通用户和企业提供广泛的软件解决方案和服务。该公司拥有自己的测试团队来查找潜在的错误和漏洞。但是,他们也有赏金计划,鼓励外...
Google为普通用户和企业提供广泛的软件解决方案和服务。该公司拥有自己的测试团队来查找潜在的错误和漏洞。但是,他们也有赏金计划,鼓励外部研究人员参与这一过程。现在,该公司正在重组其支付方案以查找Chrome中的漏洞。
近期,谷歌关闭了GooglePlay安全奖励计划(GPSRP)。他们根据平台的成熟度以及公司恶意软件检测工具的有效性做出了这一决定。不过,其他领域仍然需要外部研究人员的帮助,比如基于AI的平台和本文的主角Chrome。针对后者,谷歌推出了Chrome漏洞奖励计划(VRP)。
14年前,谷歌推出了Chrome的VPR,并根据平台的需求不时调整奖励。现在,该公司正在进行新的重组,旨在“激励高质量报告和深入研究Chrome漏洞,充分探索其影响和可利用性”。这些变化涉及对某些漏洞(例如与MiraclePtr相关的漏洞)的奖励高达两倍。
Chrome的新VPR结构将漏洞分为两个主要部分。现在有“内存损坏漏洞”和“其他漏洞”。内存损坏发现分为四类:带有RCE演示的高质量报告(涉及远程代码执行)、展示受控写入的高质量报告(涉及攻击者写入内存)、内存损坏的高质量报告和基线(Chrome中可触发内存损坏的演示)。
在每个类别中,都有某些参数决定对发现的支付金额。例如,确定进程是否处于沙盒中(隔离或受控环境)、未处于沙盒中或具有高权限。下表说明了内存损坏漏洞的新支付方案。
ChromeVRP内存损坏漏洞付款
内存损坏漏洞的新支付方案
然后,正如该部分的名称所暗示的那样,“其他漏洞”包含与内存损坏无关的漏洞。该公司正在实施一种“更具确定性”的方法。现在根据报告的质量和漏洞对用户的影响有三个类别。分别是“影响较小”、“影响中等”和“影响较大”。此部分的新付款方案如下: