Google本周再度增加Chrome与Google Play的漏洞挖掘奖金,把Chrome漏洞的基本漏洞报告奖金最大值从5,000美元增加到1.5万美元,而Google Play的远程程序攻击漏洞奖金则从5,000美元提高到2万美元。
Chrome漏洞挖掘奖励项目依照不同的漏洞或攻击形态有规模不一的奖金,其中最大宗的是沙箱逃逸或内存毁损漏洞,原本相关漏洞的基本漏洞报告奖金最高只有5,000美元,现在的基本漏洞报告奖金则是从5,000美元起,最高可得1.5万美元。而高品质漏洞报告奖金为2万美元,若再加上攻击程序则是3万美元。
Google也明确定义了高品质报告(High-quality reports),表示它通常具备最小化的测试案例,能够清楚展示开采的容易度,可协助判断原因的分析,简短、流畅且只含必要细节,能协助工程师修补bug,还能建议修补方式等。
对于基本漏洞报告的要求则较低,只说它必须含有一个最小化的测试案例,或是来自fuzzer的结果,但不必证明可被开采,以及应提出漏洞所影响的Chrome版本。
此外,利用Google硬件来漏洞挖掘的Chrome Fuzzer项目,也将找到漏洞的奖励从500美元提高到1,000美元。
而若能在访客模式下永久入侵Chromebook或Chromebox设备,则能获得高达15万美元的奖金,这是一个常设奖项,过去的奖金只有10万美元。
Google表示,自2010年发布Chrome漏洞挖掘奖励项目以来,总计收到超过8,500份漏洞报告,发出超过500万美元的奖金。
不只是Chrome漏洞的奖金变多了,Google Play的漏洞挖掘奖励项目也跟着加码,例如远程攻击程序漏洞的价格从5,000美元增加到2万美元,窃取私有数据漏洞的价格从1,000美元涨到3,000美元,访问受保护程序组件的价格也从1,000美元增加到3,000美元。