作为其安全计划的一部分,谷歌有 200 万美元专门用于发现漏洞的现金奖励。完整的 Chrome 漏洞利用,如 Pinkie Pie's,每个赚 60,000 美元。
“我们赞助的目的很简单:当我们收到完整的端到端漏洞时,我们有很大的学习机会,”Google 指出。“我们不仅可以修复漏洞,而且通过研究漏洞和漏洞技术,我们可以增强缓解,自动化测试和沙盒。这使我们能够更好地保护我们的用户。“
该公司补充说:“开发功能齐全的漏洞比查找和报告潜在的安全漏洞要多得多。”
Pinkie Pie 的成功是作为 Hack in the Box 会议的一部分提交的。根据 Google 的说法,黑客攻击涉及以下漏洞:
[$ 60,000] [154983] [154987] Critical CVE-2011-2358:SVG use-after-free 和 IPC 任意文件写入。感谢 Pinkie Pie。
在大多数用户进行修补之前,Google 会保留其他详细信息。
正如黑客的开创性表明,Chrome 在漏洞方面没有取得多少成果。具有讽刺意味的是,这正是刺激谷歌奖励计划的原因。“事实是,没有接受攻击意味着它更难学习和改进,”谷歌在 2月推出该计划时说。“为了最大化我们今年接受攻击的机会,我们已经提高了赌注。我们将直接赞助价值高达 100 万美元的奖励“
60,000 美元的奖金用于完整的 Chrome 攻击,“Chrome / Win7 本地操作系统用户帐户持久性仅使用 Chrome 本身的错误”。黑客还可以使用至少一个错误获得 $ 40,000 的 Chrome / Win7 本地操作系统用户帐户持久性 Chrome 本身,以及其他错误。例如,WebKit 错误与 Windows 沙箱错误相结合将符合条件。
Google 还会奖励不完整的漏洞,具体取决于它们的具有多大的指导性。$ 20,000 用于“安慰奖励”,用于发现 Flash,Windows 或影响所有人的驱动程序中的错误,包括 Chrome 用户。
“这些攻击并非特定于 Chrome,并且会对任何网络浏览器的用户构成威胁。虽然不是专门针对 Chrome 的问题,但我们决定提供安慰奖,因为这些调查结果仍然有助于我们实现使整个网络
更安全的使命,“搜索引擎巨头指出。
这是 Pinkie Pie 的第二次胜利:3月份,黑客还在第一届 Pwnium 竞赛中赢得了 60,000 美元,将六个漏洞链接起来以逃离 Chrome 的沙箱。