Nieuws
image

Google verhoogt beloning voor RCE-lekken in Chrome naar 250.000 dollar

donderdag 29 augustus 2024, 10:36 door Redactie, 3 reacties

Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg.

Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding.

Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen.

Reacties (3)
Reageer met quote
29-08-2024, 11:51 door Anoniem
Je zou bijna denken dat ze opzettelijk kwetsbaarheden introduceren
Reageer met quote
29-08-2024, 14:37 door Anoniem
Door Anoniem: Je zou bijna denken dat ze opzettelijk kwetsbaarheden introduceren
Valt wel mee hoor! (-:
Ze versterken juist de code van de browser door hacken en beloningen aan te moedigen, de broncode van de browser (excl. Google eigen code) is vrij dus we halen daar allemaal voordeel uit. (Zoals Chromium, Vanadium, etc)
Het is alsof je een aambeeld hebt waarbij je steeds meer koolstof uit het metaal slaat waardoor er een mooi puur zwaard overblijft.
Door het aan te vallen versterkt het product door het steeds dichter te maken via beveiligingsupgrades.
Reageer met quote
29-08-2024, 14:38 door Anoniem
Mwah een browser RCE is toch wel wat complexer dan de gemiddelde enterprise software of IOT meuk. Ik snap de verhoging dus wel. Er is aardig wat kennis voor nodig die je niet aan komt waaien.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure