구글은 구글 크롬의 16주년과 관련된 취약점 보상 프로그램(VRP)의 14주년을 기념하여 보상 프로그램에 대한 일련의 업데이트를 발표함.
정보 보안 엔지니어 에이미 레슬러의 블로그 포스트에 따르면, 이 프로그램은 "고품질 보고 및 크롬 취약점에 대한 심층 연구를 장려하기 위해 진화하고 있다"고 설명함.
업데이트의 일환으로 구글은 비샌드박스 프로세스에서 원격 코드 실행(RCE)을 입증할 경우 최대 25만 달러를 제공함.
레슬러는 "비렌더러 손상 없이 비샌드박스 프로세스에서 RCE를 달성할 수 있다면, 렌더러 RCE 보상을 포함한 더 높은 보상을 받을 수 있다"고 공유함.
메모리 손상 버그 외에도 구글은 다른 취약점에 대한 보고도 고려할 것이며, 보상은 낮은, 중간 및 높은 영향에 따라 1,000달러에서 30,000달러까지 다양함.
회사는 또한 MiraclePtr를 선언적 보안 경계로 간주하여, MiraclePtr로 보호된 비렌더러 프로세스의 버그를 보안 버그 상태에서 제외함. 따라서 크롬 128부터 MiraclePtr 우회에 대한 유효한 제출은 최대 250,128달러의 보상을 받을 수 있으며, 이는 이전의 100,115달러보다 두 배 이상 증가한 것임.
구글은 "보안 영향이나 사용자 피해 가능성을 입증하지 않거나 순전히 이론적 또는 추측적인 문제에 대한 보고서는 VRP 보상 자격이 낮을 것"이라고 확인함.
앞으로 크롬 개발자들은 보안 커뮤니티에 더 나은 서비스를 제공하기 위해 더 많은 실험적 보상 기회를 탐색하고 프로그램을 발전시킬 것임.
또한 구글은 올 여름 다른 프로그램에 대한 업데이트를 배포했으며, 일부 RCE 보고서는 15만 달러 이상의 보상을 받을 수 있음. 당시 정보 보안 엔지니어 샘 에르브와 크지슈토프 코토위츠는 구글의 시스템이 더 안전해졌기 때문에 개발자들이 더 높은 보상을 받을 자격이 있다고 설명함.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25538362/247196_Echo_Spot_Review_8A0A1528_CVirginia.jpg)
