延边信息港

当前位置:

谷歌回顾2017年漏洞奖励计划全年共发放iyiou.com

2019/03/11 来源:延边信息港

导读

谷歌回顾2017年漏洞奖励计划 全年共发放290万美元奖励2月7日,谷歌官方公开了2017年漏洞奖励计划总结报告,全年共为提交漏洞的安全

谷歌回顾2017年漏洞奖励计划 全年共发放290万美元奖励

2月7日,谷歌官方公开了2017年漏洞奖励计划总结报告,全年共为提交漏洞的安全研究员发放了高达290万美元的奖励金。以下为报告详细内容:

在新一年开始之际,我们来花点时间回顾一下2017年的漏洞奖励计划。当然其中也加入了2014年、2015年和2016年的回顾,展示我们漏洞奖励计划的进程。

这篇博文的核心是向安全研究团队表生气的时候不要作任何决定示由衷的感谢。在各位的持续帮助下,谷歌的用户和我们的产品变得愈发安全。我们期待着在2018年及今后继续与各个团队保持合作!

用数据说话:2017年

以下是2017年,我们如何对研究人员提供的报告进行奖励的:

为奖励研究人员在谷歌产品内发现漏洞并报告给我们,我们授予过研究人员超过100万美元奖金。安卓也有相近的奖金数额。再加上我们的Chrome奖励,去年一年,我们向研究人员提供的报告累计奖励了近300万美元。

再深入一点,我们通过漏洞研究资助计划(Vulnerability Research Grants Program)向来自世界各地的50多名安全研究人员颁发了12.5万美元的奖金,并将5万美元奖励给那些努力工作的人,他们提高了开源软件的安全性,这也是我们的补丁奖励计划( Patch Rewards Program)的一部分。

几个亮点漏洞

每年都有一些漏洞报告脱颖而出,有的研究也许特别巧妙,有些漏洞可能特别严重,或者有些报告特别有趣或者时效性很强。

这里是2017年让我们喜欢的一部分:

1. 8月,360 Alpha 团队安全研究员龚广提出一个Pixel的漏洞链,这是一个Chrome沙箱渲染进程的远程执行漏洞与Android的libgralloc模块中漏洞的组合,其中Android漏洞可用于从Chrome的沙其实箱中逃逸。作为Android安全奖励计划的一部分,他获得了今年的奖励:112,500美元。在去年的移动pwn2own比赛中,Pixel是没有被攻破的设备,而龚广的报告也进一步加强了Pixel的安全性。

2. 研究人员gzob获得了Pwnium的10万美元奖金,他发现了一个五个组件的漏洞链,可在Chrome OS访客模式下实现远程代码执行,。

3. Alex Birsan发现,任何人都可以访问Google内部的问题跟踪器数据。他详细介绍了他的研究成果,我们为他的努力奖励了15,600美元。

让Android和Play更安全

在过去的一年中,我们继续开展Android和Play安全奖励计划。

在过去两年多时间里,没有人获得Android利用链的奖励,因此,我们宣布对远程漏洞链的奖励也就是对能远程攻破TrustZone 或者Verified Boot的漏洞将从5万美元增加到20万美元。我们还将远程内核漏洞的奖励从3万美元增加到15万美元。

在十月份,我们推出了仅限受邀的Google Play安全奖励计划,以鼓励对Google Play上的热门Android应用进行安全性研究。

今天,我们将远程代码执行的奖励范围从1,000美元扩展到5,000美元无论生死。我们还引入了一个新的类别,其中包括可能导致用户隐私数据被盗的漏洞,未加密的信息,或导致访问受保护的应用程序组件的漏洞。我们将为这些漏洞奖励1000美元。有关详情,请访问Google Play安全奖励计划站。

,我们希望告诉那些向Chrome Fuzzer Program提交Fuzzer的研究人员:他们的Fuzzer发现的每一个合格的漏洞都将获得奖励,无需再做额外的工作,甚至不需要再提交漏洞。

鉴于过去几年良好的发展情况,我们期待漏洞奖励计划在安全研究界的共同努力下,能够在2018年保护更多用户。

原文链接:

Google Online Security Blog: Vulnerability Reward Program: 2017 Year in Review

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

规模取胜or精细运营谁是后市场O2O的救命稻草
以小见大:顺丰和菜鸟闹剧的背后是数据接口之争
专访妈妈去哪儿创始人李晓星:我们就是Pre-独角兽并且不toVC
标签