Google verhoogt beloning voor RCE-lekken in Chrome naar 250.000 dollar

[Captain Kirk]

Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg.

Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding.

Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen.

 

bron: https://www.security.nl