Google a triplé le montant total de la récompense pour le premier rapport de bogue de sécurité qui consiste en un exploit en chaîne complet et pratique de son célèbre navigateur Internet Chrome.
6 mois d’avantages supérieurs pour un Chrome complet chain exploit
Le programme Chrome Vulnerability Benefits, qui a débuté le 1er juin, doit se poursuivre jusqu’au 1er décembre 2023. Pendant cette période, les chasseurs de bogues qui signalent des bogues de sécurité pouvant être enchaînés pour exploiter pleinement de Chrome peut rapporter jusqu’à 180 000 $.
Pour motiver encore plus les chercheurs, Google a mis en place une structure d’avantages supplémentaires. Lors de l’envoi d’exploits de chaîne complète ultérieurs, les chasseurs de bogues auront la possibilité de gagner jusqu’à 120 000 $.
« Nous réfléchissons constamment à l’exploration de méthodes nouvelles et novatrices pour utiliser pleinement le navigateur Web Chrome et nous souhaitons offrir des chances de mieux inciter ce type d’étude de recherche », a déclaré Amy Ressler du Chrome Groupe de sécurité.
« Ces exploits nous offrent des informations précieuses sur les vecteurs d’attaque potentiels pour l’exploitation de Chrome et nous permettent de déterminer des stratégies pour mieux renforcer certaines fonctions et concepts de Chrome pour les futures techniques d’atténuation à grande échelle. »
Comment être approuvé pour ces avantages ?
Pour bénéficier de ces avantages, les exploits envoyés doivent répondre à des critères spécifiques détaillés par Google.
« L’exploit de la chaîne complète doit entraîner une évasion du bac à sable du navigateur Internet Chrome, avec une démonstration du contrôle de l’agresseur/de l’exécution de code en dehors du bac à sable », a déclaré Ressler.
L’utilisation de l’envoi doit pouvoir être effectuée à distance et ne dépend pas ou très peu de l’interaction de l’utilisateur, et doit « avoir été fonctionnelle dans un canal de version actif de Chrome (Dev, Beta, Stable, Prolonged Stable) lors des rapports préliminaires des bugs car chaîne. »
Les exploits établis à partir de failles de sécurité divulguées publiquement et/ou trouvés dans des versions obsolètes de Chrome ne sont pas éligibles.
Toute l’actualité en temps réel, est sur L’Entrepreneur