Google本周再度增加Chrome與Google Play的抓漏獎金,把Chrome漏洞的基本漏洞報告獎金最大值從5,000美元增加到1.5萬美元,而Google Play的遠端程式攻擊漏洞獎金則從5,000美元提高到2萬美元。

Chrome抓漏獎勵專案依照不同的漏洞或攻擊型態有規模不一的獎金,其中最大宗的是沙箱逃逸或記憶體毀損漏洞,原本相關漏洞的基本漏洞報告獎金最高只有5,000美元,現在的基本漏洞報告獎金則是從5,000美元起跳,最高可得1.5萬美元。而高品質漏洞報告獎金為2萬美元,若再加上攻擊程式則是3萬美元。

Google也明確定義了高品質報告(High-quality reports),表示它通常具備最小化的測試案例,能夠清楚展示開採的容易度,可協助判斷原因的分析,簡短、流暢且只含必要細節,能協助工程師修補臭蟲,還能建議修補方式等。

對於基本漏洞報告的要求則較低,只說它必須含有一個最小化的測試案例,或是來自fuzzer的結果,但不必證明可被開採,以及應提出漏洞所影響的Chrome版本。

此外,利用Google硬體來抓漏的Chrome Fuzzer 專案,也將找到漏洞的獎勵從500美元提高到1,000美元。

而若能在訪客模式下永久入侵Chromebook或Chromebox裝置,則能獲得高達15萬美元的獎金,這是一個常設獎項,過去的獎金只有10萬美元。

Google表示,自2010年發表Chrome抓漏獎勵專案以來,總計收到超過8,500份漏洞報告,發出逾500萬美元的獎金。

不只是Chrome漏洞的獎金變多了,Google Play的抓漏獎勵專案也跟著加碼,例如遠端攻擊程式漏洞的價碼從5,000美元增加到2萬美元,竊取私有資料漏洞的價碼從1,000美元漲到3,000美元,存取受保護程式元件的價碼也從1,000美元增加到3,000美元。


Advertisement

更多 iThome相關內容