Google объявила о расширении программы вознаграждения за выявление уязвимостей в Android, Chrome и компонентах, которые лежат в их основе. Максимальные суммы выплат выросли, кроме того, появились новые категории премий.
Крупнейшее вознаграждение предлагается за уязвимости в Android. За создание эксплойта, который позволяет выполнить код на уровне чипа Pixel Titan M2 без участия пользователя (эксплойт zero-click), можно получить от $750 тыс. до $1,5 млн. Также появились новые премии: до $375 тыс. за извлечение конфиденциальных данных и до $150 тыс. за программный обход экрана блокировки.
Максимальная выплата за критический эксплойт в Chrome выросла до $250 тыс. Речь идёт об уязвимости, которая позволяет при открытии страницы обойти механизмы изоляции браузера и выполнить произвольный код. За атаку на защищённые операции с памятью, реализованные через механизм MiraclePtr, предусмотрен дополнительный бонус до $250 тыс.
Кроме того, для Chrome действуют более мелкие выплаты:
-
до $10 тыс. за обход межсайтовой изоляции и использование XSS-уязвимости;
-
до $5 тыс. за проблемы с хранилищем, процессом отрисовки, утечки данных и подмену URL,
-
от $500 до $7,5 тыс. за другие типы уязвимостей.
Для Chrome OS предусмотрены отдельные награды, сумма которых достигает $30 тыс. Ещё $10 тыс. можно получить за предложенное исправление.
ссылка на оригинал статьи https://habr.com/ru/articles/1035236/