グーグルがChromeのバグバウンティの報奨金を最大25万ドルに増額
2024年8月28日 グーグルが提供しているバグバウンティ制度で、Chromeのセキュリティの脆弱性を発見した際の報奨金を2倍にし、1件あたりの最大報奨金は25万ドル(日本円で3,600万円)を支払う事を通知しました。
グーグルのChromeに関するバグバウンティの内容と報奨金の内容
メモリ破損バグに関しての報奨金を改定し以下のようになっています。
- RCE のデモンストレーションを含む高品質のレポート:レポートでは、機能的なエクスプロイトなどによるリモート コード実行が明確に示されています。
- 制御された書き込みを示す高品質のレポート: レポートでは、攻撃者がメモリ内の任意の場所に制御された書き込みを行ったことが明確に示されています。
- メモリ破損の高品質レポート: 高品質レポートのすべての特性を含む、Chrome で実証されたメモリ破損のレポート。
- ベースライン: Chrome でメモリ破損がトリガー可能で到達可能であることを示す証拠を表示するスタック トレースと PoC で構成されるレポート。
内容 | RCEのデモンストレーションを含む高品質なレポート | 制御された書き込みを示す高品質のレポート | メモリ破損の実証された高品質のレポート | ベースライン |
サンドボックスからの脱出 / メモリ破損 / サンドボックス化されていないプロセスでのRCE [1]、[2] | 最高25万ドル | 最大90,000ドル | 最高35,000ドル | 最高25,000ドル |
高度な権限を持つプロセス(GPUやネットワークプロセスなど)におけるメモリ破損/RCE [2] | 最大85,000ドル | 最大70,000ドル | 最大15,000ドル | 最高10,000ドル |
レンダラー RCE / サンドボックス化されたプロセスでのメモリ破損 | 最大55,000ドル | 最高50,000ドル | 最高10,000ドル | 最大7,000ドル[3] |
[1] AndroidのGPUプロセスも含まれます。AndroidではGPUプロセスがサンドボックス化されていないため、Android GPUプロセスでのRCEはサンドボックスエスケープとみなされます。
[2] 金額は侵害されたレンダラーの前提条件に基づいており、そうでない場合は同等のレンダラー報酬も追加されます。
[3] 書き込みやRCEの実証がない、V8におけるレンダラーのOOB読み取りやDCHECK/SEGVなどのバグの報告は、ベースライン報酬額のみの対象となります。
なおGoogle は、他の脆弱性についても、その品質、影響、Chrome ユーザーへの潜在的な危害に応じて次のように分類し、報告を評価します。
- 影響度が低い: 悪用される可能性が低い、悪用するための前提条件が重要、攻撃者の制御が低い、ユーザーに危害を与えるリスク/可能性が低い
- 中程度の影響: 悪用するための前提条件が中程度、攻撃者の制御の程度が適度
- 影響度が高い: 悪用される可能性が直接的、ユーザーへの実証可能な重大な危害、リモートでの悪用可能性、悪用するための前提条件が低い
グーグルのバグバウンティ報奨金支払い額は5,000 万ドルを超える
Google は2010 年に脆弱性報奨プログラム (VRP) を開始して以来 、15,000 件を超える脆弱性を報告したセキュリティ研究者に 5,000 万ドルを超えるバグ報奨金を支払っています。
参照