image

Google verhoogt beloning voor RCE-lekken in Chrome naar 250.000 dollar

donderdag 29 augustus 2024, 10:36 door Redactie, 4 reacties

Google heeft de beloning voor kwetsbaarheden in Chrome waardoor remote code execution (RCE) mogelijk is verhoogd naar meer dan 250.000 dollar. Eerder bedroeg dit nog meer dan 40.000 dollar. Het beloningsprogramma van het techbedrijf werkt met verschillende staffels. Zo werd een 'Sandbox escape / Memory corruption in a non-sandboxed process' eerder nog beloond met maximaal 40.000 dollar, afhankelijk van de kwaliteit van de bugmelding en meegeleverde exploit. Afhankelijk voor de voorwaarden dat misbruik mogelijk was, kon ook de beloning voor 'Renderer RCE' worden toegevoegd, die maximaal 15.000 dollar bedroeg.

Google laat nu weten dat het met hogere beloningen "dieper onderzoek" wil belonen, waarbij er meer nadruk ligt op kritieke kwetsbaarheden waardoor een aanvaller code op systemen kan uitvoeren. De categorie 'Sandbox escape / Memory corruption / RCE in a non-sandboxed process' is goed voor een beloning van 250.000 dollar. Als de remote code execution in een niet-gesandboxt proces mogelijk is zonder eerst de renderer te compromitteren, wordt ook de 'Renderer RCE' beloning toegevoegd. Die bedraagt maximaal 55.000 dollar, wederom afhankelijk van de kwaliteit van de bugmelding.

Vorig jaar keerde Google in totaal 2,1 miljoen dollar uit voor gerapporteerde Chrome-kwetsbaarheden. Het bedrag ging naar 359 unieke bugmeldingen.

Reacties (4)
29-08-2024, 11:51 door Anoniem
Je zou bijna denken dat ze opzettelijk kwetsbaarheden introduceren
29-08-2024, 14:37 door Anoniem
Door Anoniem: Je zou bijna denken dat ze opzettelijk kwetsbaarheden introduceren
Valt wel mee hoor! (-:
Ze versterken juist de code van de browser door hacken en beloningen aan te moedigen, de broncode van de browser (excl. Google eigen code) is vrij dus we halen daar allemaal voordeel uit. (Zoals Chromium, Vanadium, etc)
Het is alsof je een aambeeld hebt waarbij je steeds meer koolstof uit het metaal slaat waardoor er een mooi puur zwaard overblijft.
Door het aan te vallen versterkt het product door het steeds dichter te maken via beveiligingsupgrades.
29-08-2024, 14:38 door Anoniem
Mwah een browser RCE is toch wel wat complexer dan de gemiddelde enterprise software of IOT meuk. Ik snap de verhoging dus wel. Er is aardig wat kennis voor nodig die je niet aan komt waaien.
01-09-2024, 13:42 door Anoniem
Door Anoniem: Mwah een browser RCE is toch wel wat complexer dan de gemiddelde enterprise software of IOT meuk. Ik snap de verhoging dus wel. Er is aardig wat kennis voor nodig die je niet aan komt waaien.

De reden dat het - tegenwoordig - serieus indrukwekkend is, is dat (naast alle interne testen en code controle die ze doen) dat het al zo lang in de bug bounty programma's zit en er inmiddels het laag hangende fruit wel ge-oogst is.

De hogere prijs voor een exploit heeft een paar redenen -

Ook voor de supertalenten kost het nu echt veel tijd en moeite om misschien nog wat te vinden.
In het aanbod van andere bug-bounties wil je wel de aandacht houden van de top mensen - en dan moet de prijs omhoog.

"niemand heeft bugs in onze code gevonden" zegt niet zo veel als geen hond nog interesse heeft om ernaar te kijken.
Met een serieus geldbedrag als belonging mag je wel verwachten dat er goed gezocht wordt.

Ik denk dat het ook enige marketing aspecten heeft - 250K _durven_ bieden voor exploits laat zien dat je gelooft dat het niet voor het oprapen ligt . Het is toch een silicon-valley jaarsalaris voor een goede engineer. Of een aantal jaarsalarissen voor Indiers en Chinezen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.