Google verhoogt beloning voor RCE-lekken in Chrome naar 250.000 dollar
Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg.
Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding.
Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen.
Ze versterken juist de code van de browser door hacken en beloningen aan te moedigen, de broncode van de browser (excl. Google eigen code) is vrij dus we halen daar allemaal voordeel uit. (Zoals Chromium, Vanadium, etc)
Het is alsof je een aambeeld hebt waarbij je steeds meer koolstof uit het metaal slaat waardoor er een mooi puur zwaard overblijft.
Door het aan te vallen versterkt het product door het steeds dichter te maken via beveiligingsupgrades.
De reden dat het - tegenwoordig - serieus indrukwekkend is, is dat (naast alle interne testen en code controle die ze doen) dat het al zo lang in de bug bounty programma's zit en er inmiddels het laag hangende fruit wel ge-oogst is.
De hogere prijs voor een exploit heeft een paar redenen -
Ook voor de supertalenten kost het nu echt veel tijd en moeite om misschien nog wat te vinden.
In het aanbod van andere bug-bounties wil je wel de aandacht houden van de top mensen - en dan moet de prijs omhoog.
"niemand heeft bugs in onze code gevonden" zegt niet zo veel als geen hond nog interesse heeft om ernaar te kijken.
Met een serieus geldbedrag als belonging mag je wel verwachten dat er goed gezocht wordt.
Ik denk dat het ook enige marketing aspecten heeft - 250K _durven_ bieden voor exploits laat zien dat je gelooft dat het niet voor het oprapen ligt . Het is toch een silicon-valley jaarsalaris voor een goede engineer. Of een aantal jaarsalarissen voor Indiers en Chinezen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
