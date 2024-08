Dopo aver chiuso il programma Play Security Reward, Google ha annunciato una gradita novità per i ricercatori di sicurezza. Il premio pagato per le vulnerabilità più gravi scoperte in Chrome è stato aumentato a 250.000 dollari. L’azienda di Mountain View ha inoltre aggiunto premi specifici per le vulnerabilità dovute alla corruzione della memoria.

Nuovi premi per il Chrome VRP

Amy Ressler, Information Security Engineer di Google, ricorda che Chrome ha recentemente festeggiato il suo 16esimo compleanno, mentre il relativo Chrome Vulnerability Reward Program (VRP) è stato annunciato 14 anni fa. Il browser è diventato più sicuro, quindi è più difficile trovare una vulnerabilità. Allo stesso tempo, le nuove funzionalità possono introdurre nuovi problemi.

Per incentivare le segnalazioni da parte dei ricercatori di sicurezza è stata aumentata la ricompensa massima. Chi trova e dimostra una vulnerabilità in un processo non sandboxed che permette l’esecuzione di codice remoto (RCE) riceverà fino a 250.000 dollari. Per le vulnerabilità in un processo altamente privilegiato si riceve fino a 85.000 dollari. Un premio fino a 55.000 dollari è invece assegnato per le vulnerabilità in un processo sandboxed.

Google ha inoltre separato le vulnerabilità dovute alla corruzione della memoria, suddividendole in quattro categorie. Ci sono ovviamente altre classi di vulnerabilità per le quali sono previsti premi compresi tra 1.000 e 30.000 dollari.

All’inizio dell’anno è stato introdotto MiraclePtr per aggiungere la protezione contro le vulnerabilità “use-after-free”. La relativa ricompensa era di 100.115 dollari. A partire da Chrome 128, le eventuali vulnerabilità che consentono di aggirare la protezione sono considerati problemi di stabilità. Pertanto, il premio è stato aumentato a 250.128 dollari.