谷歌系统和应用的最高漏洞奖励提升至5倍,达151k美元
谷歌系统和应用的最高漏洞奖励提升至5倍,达151k美元
Sergiu Gatlan 代码卫士 2024-07-12 18:32
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌宣布将通过漏洞奖励计划 (VRP) 报送的系统和应用奖励提升至原来的5倍,最高赏金达151515美元。
谷歌表示,“随着我们的系统变得越来越安全,我们知道找到漏洞所花费的时间也越来越长,因此我们很高兴宣布将漏洞奖励提升至5倍。”最高赏金由“最敏感产品中的RCE漏洞所获得101010美元,加上质量出色的漏洞报告的1.5倍组成”。只有从协调世界时 (UTC) 7月11日0点开始提交的漏洞报告才由资格按照新的奖励方法计算。
除了颁发更高的赏金外,谷歌最近还扩大了支付选项,包括通过 Bugcrowd 平台支付赏金。谷歌在VRP 规则更新后的“赏金额”部分,提供了关于赏金和新的赏金结构信息。
|
示例漏洞 |
新赏金额 |
旧赏金额 |
|
可导致@gmail.com账户接管的逻辑漏洞 |
($50,000 * 1.5) = $75,000 |
$13,337 |
|
Idx.google.com上的XSS |
($10,000 * 1.5) = $15,000 |
$3,133.7 |
|
在home.nest.com上暴露个人可识别信息的逻辑漏洞 |
($2,500 * 1.5) = $3,750 |
$500 |
谷歌VRP的最新进展
上周,谷歌推出 kvmCTF,它是在2023年10月宣布的一个新的漏洞奖励计划,旨在提升基于 Kernel 的虚拟机管理程序的安全。kvmCTF 关注KVM 管理程序中虚拟机可触及的漏洞,并为完整的虚拟机逃逸利用提供25万美元的赏金。
一年前,谷歌还将Chrome 沙箱逃逸利用链的赏金提升至3倍,一直持续到2023年12月1日。
自2010年推出漏洞奖励计划以来,谷歌已经向报送了1.5万多个漏洞的安全研究员支付了5000多万美金的奖励。单在去年一年,谷歌就支付了1000万美元的赏金,获得最高赏金的漏洞猎人获得113,337美元。谷歌有史以来颁发的最高赏金是在2022年颁发的605000美元,获得者通过5个漏洞组成一个安卓利用链。这名研究员还在2021年报送了另外一个严重的安卓利用链,获得157000美元的赏金。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/google-increases-bug-bounty-rewards-five-times-up-to-151k/
题图:
Pexels
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~