Google, benzersiz istismar teknikleri kullanan sıfırıncı gün hataları ve istismarlar için daha büyük bonuslar ekleyerek Linux Çekirdeği, Kubernetes, Google Kubernetes Engine (GKE) veya kCTF güvenlik açıklarına ilişkin raporların ödüllerini artırdığını söylüyor.
Google Güvenlik Açığı Eşleştiricisi Eduardo Vela, “Topluluğun dikkatini çekmek için ödüllerimizi onların beklentileriyle eşleştirmemiz gerektiğinin farkına vardığımız için ödüllerimizi artırdık.” açıkladı.
“Genişlemenin başarılı olduğunu düşünüyoruz ve bu nedenle en azından yıl sonuna kadar (2022) daha da uzatmak istiyoruz.”
Sırasında başlangıçta duyuruldu Kasım ayında, kritik güvenlik açıklarına ilişkin raporların, önem derecesine bağlı olarak 50.337 ABD Dolarına kadar ödül alacağı, Google artık maksimum ödülü 91.337 ABD Dolarına yükseltti.
Bir istismar için maksimum para miktarını elde etmek, sıfır gün (güvenlik yaması olmayan bilinmeyen hatalar), ayrıcalıksız kullanıcı ad alanlarına ihtiyaç duymamaları ve yeni istismar teknikleri kullanmaları da dahil olmak üzere çeşitli koşullara bağlıdır.
Her biri, ilk geçerli bir istismar sunumunun değerini 91.337 $ ‘a kadar getirebilecek 20.000 $’ lık bir bonus ile birlikte gelir.
“Bu değişiklikler, bazı 1 günlük istismarları 71.337 USD’ye (31.337 USD’den) yükseltiyor ve tek bir istismar için maksimum ödülün 91.337 USD olmasını sağlıyor (50.337 USD’den),” Vela açıkladı.
“Ayrıca, yeni istismar teknikleri gösterirlerse (0 USD’den fazla) kopyalar için bile en az 20.000 USD ödeyeceğiz. Bununla birlikte, 1 günlük ödül sayısını sürüm/yapı başına yalnızca bir tane ile sınırlayacağız.”
Google, aynı güvenlik açığının mükerrer istismarları için ödeme yapmayacak olsa da, şirket, yeni istismar teknikleri için ikramiyelerin hala geçerli olacağını ve bunun da araştırmacıların yinelemeler için 20.000 $ alabilecekleri anlamına geldiğini söylüyor.
Son üç ayda 175.000 dolar ödendi
Kasım ayından bu yana Google, beş sıfır gün ve iki 1 gün dahil olmak üzere dokuz farklı gönderim için 175.000 dolardan fazla ödeme yaptı.
Google, bu dokuz güvenlik açığından üçünü zaten düzelttiğini söylüyor: CVE-2021-4154, CVE-2021-22600 (yama), ve CVE-2022-0185 (yazma).
“Bu üç hata ilk olarak Syzkallerve ikisi bize bildirildiklerinde Linux Çekirdeğinin ana hat ve kararlı sürümlerinde zaten düzeltilmişti,” diye ekledi Vela.
Google’ın Temmuz 2021’de açıkladığı gibi, ilk lansmanından bu yana VRP bitmiş on yıl önce84 farklı ülkeden 2.000’den fazla güvenlik araştırmacısını yaklaşık 11.000 hata bildirdiği için ödüllendirdi.
Sonuç olarak, Google, araştırmacıların Chromium’un piyasaya sürüldüğü Ocak 2010’dan bu yana 29 milyon dolardan fazla kazandığını söyledi. güvenlik açığı ödül programı lansmanı yapıldı.
İçinde Güvenlik Açığı Ödül Programı: 2021 Yılı İnceleme raporu Geçen hafta yayınlanan bir raporda şirket, 2021’de Android VRP tarihinin en yüksek ödemesi olan 157.000 dolarlık istismar zinciri de dahil olmak üzere rekor kıran 8.700.000 dolarlık ödül verdiğini söyledi.