谷歌宣布擴大其針對安卓平台、Chrome瀏覽器及其底層組件漏洞的賞金計畫。對於無需用戶交互即可在Pixel Titan M2晶片層執行代碼(零點擊漏洞)的安卓漏洞利用程序,如果攻擊者成功獲得系統控制權,最高賞金可達150萬美元;對於未能建立持久系統控制權的攻擊,最高賞金為750萬美元。此外,Google還設立了針對竊取受保護機密資料(最高375萬美元)和基於軟體的鎖定螢幕繞過(最高1.5萬美元)的額外賞金。
創建能夠開啟網頁、繞過所有瀏覽器隔離等級並在系統上執行程式碼的 Chrome 漏洞程式的最高獎勵已提高至 250 萬美元。如果漏洞利用程式影響到受 MiraclePtr 機制保護的記憶體操作,則可額外獲得 250 萬美元(250128 美元)的獎金。 MiraclePtr 提供了一個指標包裝器,它會執行額外的檢查,並在偵測到對已釋放記憶體區域的存取時導致程式崩潰。
此外,Chrome 還提供高達 10000 美元的漏洞賞金,獎勵對象為繞過跨站隔離或 JavaScript 訪問控制 (XSS) 漏洞;最高 5000 美元的賞金,獎勵對象為繞過存儲限制、利用渲染過程漏洞、提取用戶信息以及偽造地址欄 URL 漏洞;其他類型的漏洞賞金則在 500 美元之間。對於 Chrome OS 特有的漏洞,賞金最高可達 30000 美元,此外,開發修補程式還能獲得 10,000 美元的額外獎勵。
來源: opennet.ru
