Google sobre un aumento en los montos devengados dentro pago de recompensas por identificar vulnerabilidades en el navegador Chrome y sus componentes subyacentes.
El pago máximo por crear un exploit para escapar de un entorno sandbox se ha incrementado de 15 a 30 mil dólares, por
un método para eludir el control de acceso en JavaScript (XSS) de 7.5 a 20 mil dólares, para organizar la ejecución remota de código a nivel del sistema de renderizado de 7.5 a 10 mil dólares, para identificar fugas de información, de 4 a 5-20 mil dólares. Se han introducido pagos por métodos de suplantación de identidad en la interfaz de usuario (7500 dólares), escalada de privilegios en la plataforma web (5000 dólares) y elusión de la protección contra la explotación de vulnerabilidades (5000 dólares). Se han duplicado los pagos por preparar una descripción básica y de alta calidad (una prueba para demostrar el problema y una versión Chrome) de una vulnerabilidad sin demostrar un exploit.
Además, los investigadores tienen la oportunidad de publicar una aplicación por etapas: primero pueden informar sobre la vulnerabilidad en sí y luego proporcionar un exploit para recibir una recompensa mayor. Además, el pago de bonificación por identificar una vulnerabilidad utilizando Chrome Fuzzer se ha incrementado a 1000 dólares.
Para Chrome OS, la cantidad para que un exploit comprometa completamente un Chromebook o Chromebox desde el modo de acceso de invitados se ha incrementado a 150 dólares. Se agregaron nuevos pagos por vulnerabilidades en el firmware y el sistema de bloqueo de pantalla.
В pago de recompensas por vulnerabilidades en desde Google Play, el coste de la información sobre una vulnerabilidad explotada remotamente ha aumentado de 5 a 20 mil dólares, la filtración de datos y el acceso a componentes protegidos de 1000 a 3000 dólares.
Fuente: opennet.ru