Google telah secara signifikan meningkatkan hadiah untuk Program Penghargaan Kerentanan Chrome (VRP), menawarkan hingga $250.000 untuk kelemahan keamanan kritis. Pembaruan besar ini, bertepatan dengan ulang tahun ke-16 Chrome dan ulang tahun ke-14 VRP, bertujuan untuk mendorong penelitian keamanan yang lebih menyeluruh dan pelaporan kerentanan berkualitas tinggi.
Perubahan Utama pada Chrome VRP
- Hadiah Maksimum Ditingkatkan: Hadiah tertinggi telah dinaikkan dari $40.000 menjadi $250.000 untuk kerentanan paling parah.
- Fokus pada Korupsi Memori: Peneliti dapat memperoleh hadiah maksimum dengan mengidentifikasi bug korupsi memori dalam proses non-sandboxed dan mendemonstrasikan eksekusi kode jarak jauh (RCE).
- Struktur Hadiah Bertingkat: Pembayaran bervariasi berdasarkan tingkat keparahan dan dampak dari kerentanan yang ditemukan:
- Hingga $90.000 untuk mendemonstrasikan RCE dalam lingkungan terkontrol
- Hingga $35.000 untuk laporan korupsi memori aktif
- Hingga $85.000 untuk korupsi memori dalam proses dengan hak istimewa tinggi
- Hingga $55.000 untuk eksploit serupa dalam proses sandboxed
Hadiah dan Bonus Tambahan
- Hadiah Bypass MiraclePtr: Ditingkatkan dari $100.115 menjadi $250.128
- Kelemahan Keamanan Lainnya: Hadiah berkisar dari $1.000 hingga $30.000 berdasarkan dampak
- Hadiah Bonus: $1.000 untuk mengidentifikasi commit spesifik yang memperkenalkan bug
Ruang kerja digital modern yang menekankan kreativitas dan sifat berorientasi teknologi dari program keamanan Google |
Penekanan pada Kualitas dan Dampak
Google menekankan bahwa hadiah tidak dijamin dan bergantung pada kualitas laporan awal, komponen perangkat lunak yang terpengaruh, dan potensi pelajaran bagi perusahaan. Laporan harus menunjukkan dampak keamanan yang jelas atau potensi bahaya bagi pengguna untuk memenuhi syarat mendapatkan hadiah.
Pandangan ke Depan
Sebagai bagian dari komitmennya untuk mengembangkan program, Google berencana untuk mengeksplorasi lebih banyak peluang hadiah eksperimental di masa depan. Pembaruan ini mencerminkan upaya berkelanjutan perusahaan untuk memperkuat keamanan Chrome dan terlibat lebih dalam dengan komunitas penelitian keamanan.
Bagi mereka yang tertarik untuk berpartisipasi atau mempelajari lebih lanjut tentang perlindungan online, Google mendorong untuk meninjau pedoman Chrome VRP dan mengeksplorasi layanan perlindungan pencurian identitas dan pemantauan kredit yang terpercaya.