Google ได้เพิ่มเงินรางวัลสำหรับโปรแกรม Chrome Vulnerability Reward Program (VRP) อย่างมีนัยสำคัญ โดยเสนอเงินรางวัลสูงถึง 250,000 ดอลลาร์สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ การอัปเดตครั้งใหญ่นี้ตรงกับวันครบรอบ 16 ปีของ Chrome และวันครบรอบ 14 ปีของ VRP มีจุดมุ่งหมายเพื่อกระตุ้นการวิจัยด้านความปลอดภัยที่ละเอียดมากขึ้นและการรายงานช่องโหว่ที่มีคุณภาพสูง
การเปลี่ยนแปลงที่สำคัญของ Chrome VRP
- เพิ่มเงินรางวัลสูงสุด: เงินรางวัลสูงสุดได้เพิ่มขึ้นจาก 40,000 ดอลลาร์เป็น 250,000 ดอลลาร์สำหรับช่องโหว่ที่ร้ายแรงที่สุด
- มุ่งเน้นที่ Memory Corruption: นักวิจัยสามารถรับเงินรางวัลสูงสุดโดยการระบุข้อบกพร่อง memory corruption ในกระบวนการที่ไม่ได้อยู่ใน sandbox และแสดงให้เห็นถึงการทำงานของรหัสจากระยะไกล (RCE)
- โครงสร้างเงินรางวัลแบบลำดับขั้น: เงินรางวัลแตกต่างกันไปตามความรุนแรงและผลกระทบของช่องโหว่ที่ค้นพบ:
- สูงถึง 90,000 ดอลลาร์สำหรับการแสดง RCE ในสภาพแวดล้อมที่ควบคุม
- สูงถึง 35,000 ดอลลาร์สำหรับรายงาน memory corruption ที่ใช้งานอยู่
- สูงถึง 85,000 ดอลลาร์สำหรับ memory corruption ในกระบวนการที่มีสิทธิ์สูง
- สูงถึง 55,000 ดอลลาร์สำหรับการโจมตีที่คล้ายกันในกระบวนการที่อยู่ใน sandbox
รางวัลและโบนัสเพิ่มเติม
- รางวัลการหลีกเลี่ยง MiraclePtr: เพิ่มขึ้นจาก 100,115 ดอลลาร์เป็น 250,128 ดอลลาร์
- ช่องโหว่ด้านความปลอดภัยอื่นๆ: เงินรางวัลตั้งแต่ 1,000 ถึง 30,000 ดอลลาร์ขึ้นอยู่กับผลกระทบ
- รางวัลโบนัส: 1,000 ดอลลาร์สำหรับการระบุ commit ที่เฉพาะเจาะจงซึ่งทำให้เกิดข้อบกพร่อง
พื้นที่ทำงานดิจิทัลสมัยใหม่ที่เน้นความคิดสร้างสรรค์และลักษณะที่เน้นเทคโนโลยีของโปรแกรมด้านความปลอดภัยของ Google |
เน้นย้ำเรื่องคุณภาพและผลกระทบ
Google เน้นย้ำว่าเงินรางวัลไม่ได้รับประกันและขึ้นอยู่กับคุณภาพของรายงานเริ่มต้น ส่วนประกอบซอฟต์แวร์ที่ได้รับผลกระทบ และบทเรียนที่บริษัทอาจได้รับ รายงานต้องแสดงให้เห็นถึงผลกระทบด้านความปลอดภัยที่ชัดเจนหรือความเป็นไปได้ที่จะเกิดอันตรายต่อผู้ใช้เพื่อให้มีสิทธิ์ได้รับรางวัล
มองไปข้างหน้า
ในฐานะส่วนหนึ่งของความมุ่งมั่นในการพัฒนาโปรแกรม Google วางแผนที่จะสำรวจโอกาสในการให้รางวัลแบบทดลองมากขึ้นในอนาคต การอัปเดตนี้สะท้อนให้เห็นถึงความพยายามอย่างต่อเนื่องของบริษัทในการเสริมสร้างความปลอดภัยของ Chrome และมีส่วนร่วมกับชุมชนนักวิจัยด้านความปลอดภัยอย่างลึกซึ้งยิ่งขึ้น
สำหรับผู้ที่สนใจเข้าร่วมหรือต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการป้องกันออนไลน์ Google แนะนำให้ทบทวนแนวทางของ Chrome VRP และสำรวจบริการป้องกันการโจรกรรมข้อมูลและการตรวจสอบเครดิตที่น่าเชื่อถือ