Google ha annunciato un significativo aumento delle ricompense per le vulnerabilità di sicurezza segnalate nel browser Chrome, con premi che ora possono superare i 250.000 dollari per un singolo bug.
La società di Mountain View ha rivisto il suo Programma di Ricompense per le Vulnerabilità, differenziando i pagamenti in base alla qualità delle segnalazioni e all'impatto potenziale dei problemi riportati. Le ricompense partono da 25.000 dollari per segnalazioni di base di corruzioni di memoria fino ad arrivare a oltre 250.000 dollari per rapporti di alta qualità che dimostrano la possibilità di esecuzione di codice remoto.
Amy Ressler, ingegnere della sicurezza di Chrome, ha spiegato: "È giunto il momento di far evolvere le ricompense del programma VRP di Chrome per fornire una struttura migliore e aspettative più chiare ai ricercatori di sicurezza che ci segnalano bug e per incentivare segnalazioni di alta qualità e ricerche più approfondite sulle vulnerabilità di Chrome".
Altre categorie di vulnerabilità
Google ha anche più che raddoppiato le ricompense per gli aggiramenti di MiraclePtr, portandole da 100.115 a 250.128 dollari. L'azienda ha inoltre categorizzato altre classi di vulnerabilità in base al loro impatto potenziale:
- Impatto minore: basso potenziale di sfruttamento, precondizioni significative per lo sfruttamento;
- Impatto moderato: precondizioni moderate per lo sfruttamento, discreto grado di controllo dell'attaccante;
- Alto impatto: percorso semplice per lo sfruttamento, danno dimostrabile e significativo per l'utente, sfruttabilità remota.
Ressler ha aggiunto che tutte le segnalazioni sono ancora idonee per premi bonus quando includono caratteristiche applicabili. Google continuerà a esplorare opportunità di ricompensa più sperimentali e a far evolvere il programma per servire meglio la comunità della sicurezza.
Dall'avvio del suo Programma di Ricompense per le Vulnerabilità nel 2010, Google ha pagato oltre 50 milioni di dollari in ricompense per bug a ricercatori di sicurezza che hanno segnalato più di 15.000 vulnerabilità.