Скачавшие Chrome могут получить вознаграждение в полмиллиона долларов

Google увеличил выплаты охотникам за ошибками в браузере.

Программа вознаграждений за обнаружение уязвимостей Chrome (VRP) от Google теперь стала значительно богаче: максимальная выплата выросла как минимум вдвое. Нашедшему особую ошибку в браузере гарантируют вознаграждение в размере полмиллиона долларов США.

Как заявила Эми Ресслер, инженер по информационной безопасности компании Chocolate Factory, поиск существенных ошибок в браузере Chrome после 16 лет его выпуска стала для программистов сложной задачей. Поэтому новый подход Google отражает отход от списка конкретных наград, который отделял проблемы повреждения памяти от других классов уязвимостей.

За последние несколько лет безопасность памяти стала приоритетом отрасли, поскольку большинство значимых ошибок в крупных кодовых базах C++, таких как Chrome, сводятся к недостаткам после освобождения и переполнение буфера.

Новая структура вознаграждений Google за ошибки повреждения памяти фокусируется на четырех категориях уязвимостей: высококачественный отчет с демонстрацией удаленного выполнения кода (RCE); высококачественный отчет, демонстрирующий контролируемую запись в произвольную область памяти; высококачественный отчет о повреждении памяти; и базовый отчет, состоящий из трассировки стека и кода эксплойта для проверки концепции.

 «Потенциальная сумма вознаграждения за отдельную проблему теперь составляет 250 000 долларов за продемонстрированное RCE в неизолированном процессе», – сообщила Ресслер.

А получение RCE в неизолированном процессе без компрометации рендерера дает право на более высокую сумму.

В список включена награда за обход MiraclePtr — механизма защиты от повреждения памяти при использовании после освобождения. По сути, он реализует счетчик ссылок, который блокирует повторное использование освобожденной/высвобождаемой памяти при положительном значении и освобождает ее при достижении нуля.

Согласно документации Google, новая ошибка повреждения памяти при использовании после освобождения, демонстрирующая обход MiraclePtr с помощью высокоэффективного, функционального эксплойта и высококачественного описания, может принести «охотнику за ошибками» прибыль в размере 500 128 долларов США.

вопрос 1 из 10

Ты придумал идею стартапа. Что это?

А) Революционная технология, которая спасёт человечество от загрязнения.

Б) Что-то с криптовалютами — это модно, а значит, выстрелит.

В) Новая комбинация кофейни, кальянной и бара йоги. Почему бы нет?

Далее

вопрос 1 из 10

Ты придумал идею стартапа. Что это?

А) Проводишь презентацию с впечатляющими графиками и будущими планами захвата рынка.

Б) Запускаешь хайповое видео в соцсетях и собираешь толпу через краудфандинг.

В) Зовёшь своих друзей, заказываешь пиццу и говоришь: «Ну, пацаны, у меня идея.»

Далее

вопрос 1 из 10

Твой проект внезапно начал терять популярность. Твои действия?

А) Оцениваешь ошибки, меняешь стратегию и влетаешь с новыми идеями на рынок.

Б) Делаешь ребрендинг, кидаешь новые мемы и запускаешь очередную акцию «Только сегодня!»

В) Закрываешься на недельку в баре и думаешь: «Ну, было весело пока шло.»

Далее

вопрос 1 из 10

Какие технологии ты используешь в своём стартапе?

А) Искусственный интеллект, электрокары, нейросети — полный пакет будущего.

Б) Всё, что хайпово: блокчейн, метавселенная и дополненная реальность.

В) Эксклюзивные капучино и массаж во время занятий йогой.

Далее

вопрос 1 из 10

Где ты видишь свой стартап через пять лет?

А) В списке компаний, которые изменили мир — как минимум, ты рядом с Tesla.

Б) В ленте новостей с заголовком: «Стартап года по версии Forbes.»

В) В уютной кофейне, где клиенты расслабляются и слушают медитативную музыку.

Далее

вопрос 1 из 10

Как ты справляешься с критикой в адрес твоего стартапа?

А) Принимаешь конструктивную критику и адаптируешь свой проект. Умные учатся.

Б) Просто делаешь вирусный мем в ответ и поднимаешь волну хайпа.

В) Игнорируешь. «Хейтеры будут ненавидеть», а мне ещё надо йогурт закупить для клиентов.

Далее

вопрос 1 из 10

У тебя появился конкурент с похожей идеей. Что ты сделаешь?

А) Проанализируешь его слабые стороны и превзойдёшь своим инновационным подходом.

Б) Попробуешь переманить его аудиторию при помощи вирусных акций и мемов.

В) Попробуешь договориться о совместных занятиях йогой и кальянными вечерами.

Далее