爱科技网

谷歌为Chromium bug猎人提供三倍奖励

目前最高基准费用为15,000美元,因为Chrome还宣布了加强隐身浏览的更新,白帽黑客和开发者将通过向谷歌的Chromium bug赏金计划提交漏洞获得更大的回报。

Chrome漏洞奖励计划将最高基准奖励从5,000美元增加到15,000美元,同时将高质量报告的最高奖励金额从15,000美元增加到30,000美元。这是将使用模糊器识别出的错误奖励加倍到1000美元之上。

高质量奖励被定义为提交,其中包括可以轻松,主动和可靠地对用户征收的漏洞利用。这些报告还应该具有最小化的测试用例,并且很有可能证明利用,以及展示分析以确定根本原因以及其他因素。

该计划于九年前启动,因此研究人员可以为Chromium安全维护做出贡献。2010年符合条件的错误的基本奖励是500美元,与Mozilla通过自己的错误赏金计划付款一致。

相比之下,今天向Mozilla提交关键和高安全级别漏洞的最大奖励是7,500美元,而针对中等安全级别的安全问题支付的最高奖励是2,000美元。谷歌对有效缺陷的最大基线奖励增加了三倍,这些数字超过了这些数字。

对于可能危及Chrome客户模式或Chromebox并在客户模式下持久存在的漏洞利用链的常设奖励也将提高到150,000美元。

与此同时,Google Play安全奖励计划已将远程代码执行错误的奖励从5,000美元提高到20,000美元等等。

Chrome安全团队的工程师项目经理Natasha Pabrai和安全工程师Andrew Whalley说:“铬一直是以安全为核心,由充满激情的全球社区构建,作为Chromium开源项目的一部分。”

“我们很自豪社区包括世界级的安全研究人员,他们帮助保护Chrome和其他基于Chromium的浏览器。”

尽管增长幅度很大,但Google的计划奖励仍然不适合微软和英特尔等公司。

例如,后者根据幽灵和熔毁的缺陷,为那些发现边缘漏洞从10万美元到25万美元的研究人员提高了最高费用。

另一方面,微软为其Azure DevOps平台推出了一个程序,其中有效提交的内容最多可以获得20,000美元。

堵塞Chrome的隐私浏览漏洞

谷歌已经对其漏洞赏金计划进行了这些更改,同时对其Chrome浏览器进行了以隐私为中心的重大调整。

在发布下一个Chrome版本时,该公司将插入一个漏洞,允许网站检测人们在隐身模式下浏览的时间。例如,这使得一些出版商可以阻止人们绕过付费墙。

当人们以隐身模式浏览时,Chrome的FileSystem API通常会被禁用,许多网站都可以检查FileSystem API是否可用。如果发布者在这些检查后收到错误消息,则可以推断出用户正在使用隐私浏览来访问其网站。

Chrome 76将于7月底发布,它将改变FileSystem API的行为,以堵塞这个漏洞并阻止网站确定用户访问其网站的方式。

“这一变化将影响使用FileSystem API拦截隐身模式会话并要求人们登录或切换到正常浏览模式的网站,前提是这些人试图规避计量收费墙,”谷歌新闻合作伙伴开发经理表示和网络合作伙伴Barb Palser。

“与需要人们登录查看任何内容的硬付费墙或登记墙不同,在您必须登录之前,计量表会提供大量免费文章。此模型本质上是漏洞,因为它依赖于网站跟踪网站数量的能力。有人看过的免费文章,通常使用cookies。私密浏览模式是人们用来管理cookie并从而“重置”计量表数量的几种策略之一。

“我们的新闻团队支持具有仪表策略的站点,并认识到减少仪表规避的目标,但是,任何基于隐私浏览检测的方法都会破坏隐身模式的原则。”