O Google anunciou uma atualização significativa em seu Chrome Vulnerability Reward Program (VRP), marcando o 14º aniversário do programa e o 16º do navegador Chrome.
Com o Chrome amadurecendo ao longo dos anos, identificar as vulnerabilidades mais graves e exploráveis tornou-se um desafio cada vez maior.
Para enfrentar essa dificuldade e incentivar relatórios de maior qualidade, o Google reformulou sua estrutura de recompensas, destacando novas categorias de vulnerabilidades e aumentando os valores para descobertas que demonstram maior impacto e potencial de exploração.
Entre as mudanças mais notáveis, a empresa separou as vulnerabilidades de corrupção de memória de outras classes de falhas, criando uma nova estrutura de recompensas especificamente para essas vulnerabilidades.
A recompensa máxima agora pode chegar a US$ 250 mil para relatórios que demonstrem claramente a execução remota de código (RCE) em processos não sandbox. Esta mudança visa incentivar uma análise mais profunda das falhas e uma melhor compreensão de suas implicações, alinhando as recompensas ao esforço necessário para identificar e demonstrar as vulnerabilidades mais complexas.
Grandes recompensas para quem achar vulnerabilidades críticas no Chrome
Além de aumentar as recompensas para vulnerabilidades de corrupção de memória, o Google também estabeleceu critérios mais rigorosos para outras classes de vulnerabilidades no Chrome.
As recompensas variam de acordo com o impacto do bug e a qualidade do relatório apresentado.
Por exemplo, um bypass de isolamento do site que seja demonstrado como um relatório de alta qualidade pode render até US$ 30 mil, enquanto vulnerabilidades de menor impacto, como a falsificação de interface de usuário (UI), podem render até US$ 10 mil.
Outra atualização importante no programa é a elevação da recompensa para o bypass do MiraclePtr, uma medida de segurança recentemente implementada no Chrome.
Relatórios válidos que demonstrem um bypass bem-sucedido desta proteção agora podem render uma recompensa de até US$ 250.128, refletindo a importância crítica desta camada de segurança.
Este tipo de programa, principalmente em grandes empresas, é importante para garantir a segurança das ferramentas ao usuários, ao mesmo tempo em que podem conceder uma boa recompensa para aqueles que se desponham a explorar vulnerabilidades.
