グーグルがChromeのバグバウンティの報奨金を最大25万ドルに増額

グーグルがChromeのバグバウンティの報奨金を最大25万ドルに増額

2024年8月28日 グーグルが提供しているバグバウンティ制度で、Chromeのセキュリティの脆弱性を発見した際の報奨金を2倍にし、1件あたりの最大報奨金は25万ドル(日本円で3,600万円)を支払う事を通知しました。

グーグルのChromeに関するバグバウンティの内容と報奨金の内容

メモリ破損バグに関しての報奨金を改定し以下のようになっています。

  • RCE のデモンストレーションを含む高品質のレポート:レポートでは、機能的なエクスプロイトなどによるリモート コード実行が明確に示されています。
  • 制御された書き込みを示す高品質のレポート: レポートでは、攻撃者がメモリ内の任意の場所に制御された書き込みを行ったことが明確に示されています。
  • メモリ破損の高品質レポート: 高品質レポートのすべての特性を含む、Chrome で実証されたメモリ破損のレポート。
  • ベースライン: Chrome でメモリ破損がトリガー可能で到達可能であることを示す証拠を表示するスタック トレースと PoC で構成されるレポート。
内容RCEのデモンストレーションを含む高品質なレポート制御された書き込みを示す高品質のレポートメモリ破損の実証された高品質のレポートベースライン
サンドボックスからの脱出 / メモリ破損 / サンドボックス化されていないプロセスでのRCE [1]、[2]最高25万ドル最大90,000ドル最高35,000ドル最高25,000ドル
高度な権限を持つプロセス(GPUやネットワークプロセスなど)におけるメモリ破損/RCE [2]最大85,000ドル最大70,000ドル最大15,000ドル最高10,000ドル
レンダラー RCE / サンドボックス化されたプロセスでのメモリ破損最大55,000ドル最高50,000ドル最高10,000ドル最大7,000ドル[3]

[1] AndroidのGPUプロセスも含まれます。AndroidではGPUプロセスがサンドボックス化されていないため、Android GPUプロセスでのRCEはサンドボックスエスケープとみなされます。

[2] 金額は侵害されたレンダラーの前提条件に基づいており、そうでない場合は同等のレンダラー報酬も追加されます。

[3] 書き込みやRCEの実証がない、V8におけるレンダラーのOOB読み取りやDCHECK/SEGVなどのバグの報告は、ベースライン報酬額のみの対象となります。

なおGoogle は、他の脆弱性についても、その品質、影響、Chrome ユーザーへの潜在的な危害に応じて次のように分類し、報告を評価します。

  • 影響度が低い: 悪用される可能性が低い、悪用するための前提条件が重要、攻撃者の制御が低い、ユーザーに危害を与えるリスク/可能性が低い
  • 中程度の影響: 悪用するための前提条件が中程度、攻撃者の制御の程度が適度
  • 影響度が高い: 悪用される可能性が直接的、ユーザーへの実証可能な重大な危害、リモートでの悪用可能性、悪用するための前提条件が低い

グーグルのバグバウンティ報奨金支払い額は5,000 万ドルを超える

Google は2010 年に脆弱性報奨プログラム (VRP) を開始して以来 、15,000 件を超える脆弱性を報告したセキュリティ研究者に 5,000 万ドルを超えるバグ報奨金を支払っています。

参照

Chrome VRP Reward Updates to Incentivize Deeper Research

TOPへ