O Google anunciou um aumento nas recompensas oferecidas em seu programa de vulnerabilidades do Chrome, o Chrome Vulnerability Reward Program (VRP), que agora pode pagar até US$ 250 mil (cerca de R$ 1,4 milhão) para pesquisadores que encontrarem falhas críticas. O anúncio coincide com o 16º aniversário do navegador e o 14º aniversário do programa de recompensas.
- Clique e siga o Canaltech no WhatsApp
- TikTok Lite encerra programa de recompensas para cumprir lei europeia
O principal foco dessa atualização está na reestruturação das categorias de vulnerabilidades relacionadas à corrupção de memória, com o objetivo de incentivar pesquisas mais aprofundadas e relatórios de maior qualidade.
Aumentos no programa de recompensas
As recompensas variam de acordo com a complexidade e o impacto da falha reportada, sendo que as falhas que demonstram execução remota de código (RCE) em processos não isolados são as que oferecem os maiores valores.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
“A maior recompensa para um único problema agora é de US$ 250 mil para uma execução remota de código (RCE) demonstrada em um processo não isolado (que não seja realizado em sandbox)”, afirma a engenheira de segurança da informação Amy Ressler no comunicado.
Além das falhas de corrupção de memória, o Google também ajustou os valores das recompensas para outras categorias de vulnerabilidades, que agora podem variar de US$ 1 mil a US$ 30 mil, dependendo do impacto e do potencial de exploração da falha identificada.
O Google também atualizou a recompensa para vulnerabilidades que contornem o MiraclePtr, uma tecnologia desenvolvida para proteger o Chrome contra falhas de corrupção de memória. O MiraclePtr dificulta a exploração dessas vulnerabilidades ao proteger áreas críticas da memória. Com as novas atualizações, qualquer método que consiga contornar essa barreira de segurança pode render uma recompensa de até US$ 250.128.
A Big Tech reforça que relatórios que não demonstrarem impacto de segurança ou potencial de danos para os usuários, ou que tratem apenas de questões teóricas, provavelmente não serão elegíveis para recompensas no programa.
O Google declarou ainda que continuará “explorando mais oportunidades de recompensas experimentais e desenvolvendo o programa para melhor atender à comunidade de segurança”.
Conheça também o programa de recompensas da Samsung, que paga até US$ 1 milhão para quem achar falhas de segurança em celulares.
Leia a matéria no Canaltech.
Trending no Canaltech:
- Supergirl desenvolve um poder tão invasivo que chega a ser indecente
- Honor provoca Samsung com mensagem minúscula em celular dobrável
- Meta pode retomar treinamento de IA com dados pessoais no Brasil, decide ANPD
- Galaxy Tab S10 Plus e Ultra vazam em novas certificações
- 🔥 PARCELADO | Compre Acer Nitro V15 com Intel Core i5 em ótima oferta
- Cérebro humano armazena várias cópias de uma mesma memória
