谷歌为Chromium bug猎人提供三倍奖励

 
白帽黑客和开发者将通过向谷歌的Chromium bug赏金计划提交漏洞获得更大的回报。
Chrome漏洞奖励计划将最高基准奖励从5,000美元增加到15,000美元，同时将高质量报告的最高奖励金额从15,000美元增加到30,000美元。这是将使用模糊器识别出的错误奖励加倍到1000美元之上。
高质量奖励被定义为提交，其中包括可以轻松，主动和可靠地对用户征收的漏洞利用。这些报告还应该具有最小化的测试用例，并且很有可能证明利用，以及展示分析以确定根本原因以及其他因素。
该计划于九年前启动，因此研究人员可以为Chromium安全维护做出贡献。 2010年符合条件的错误的基本奖励是500美元，与Mozilla通过自己的错误赏金计划付款一致。
鉴于Meltdown和Spectre，英特尔将奖金赏金计划奖励提高到250,000美元
相比之下，今天向Mozilla提交关键和高安全级别漏洞的最大奖励是7,500美元，而针对中等安全级别的安全问题支付的最高奖励是2,000美元。谷歌对有效缺陷的最大基线奖励增加了三倍，这些数字超过了这些数字。
对于可能危及Chrome客户模式或Chromebox并在客户模式下持久存在的漏洞利用链的常设奖励也将提高到150,000美元。
与此同时，Google Play安全奖励计划已将远程代码执行错误的奖励从5,000美元提高到20,000美元等等。
Chrome安全团队的工程师项目经理Natasha Pabrai和安全工程师Andrew Whalley说：“铬一直是以安全为核心，由充满激情的全球社区构建，作为Chromium开源项目的一部分。”
“我们很自豪社区包括世界级的安全研究人员，他们帮助保护Chrome和其他基于Chromium的浏览器。”
尽管增长幅度很大，但Google的计划奖励仍然不适合微软和英特尔等公司。
例如，后者根据幽灵和熔毁的缺陷，为那些发现边缘漏洞从10万美元到25万美元的研究人员提高了最高费用。
另一方面，微软为其Azure DevOps平台推出了一个程序，其中有效提交的内容最多可以获得20,000美元。
堵塞Chrome的隐私浏览漏洞
谷歌已经对其漏洞赏金计划进行了这些更改，同时对其Chrome浏览器进行了以隐私为中心的重大调整。
在发布下一个Chrome版本时，该公司将插入一个漏洞，允许网站检测人们在隐身模式下浏览的时间。例如，这使得一些出版商可以阻止人们绕过付费墙。
当人们以隐身模式浏览时，Chrome的FileSystem API通常会被禁用，许多网站都可以检查FileSystem API是否可用。如果发布者在这些检查后收到错误消息，则可以推断出用户正在使用隐私浏览来访问其网站。
Chrome 76将于7月底发布，它将改变FileSystem API的行为，以堵塞这个漏洞并阻止网站确定用户访问其网站的方式。
“这一变化将影响使用FileSystem API拦截隐身模式会话并要求人们登录或切换到正常浏览模式的网站，前提是这些人试图规避计量收费墙，”谷歌新闻合作伙伴开发经理表示和网络合作伙伴Barb Palser。
“与需要人们登录查看任何内容的硬付费墙或登记墙不同，在您必须登录之前，计量表会提供大量免费文章。此模型本质上是漏洞，因为它依赖于网站跟踪网站数量的能力。有人看过的免费文章，通常使用cookies。私密浏览模式是人们用来管理cookie并从而“重置”计量表数量的几种策略之一。
“我们的新闻团队支持具有仪表策略的站点，并认识到减少仪表规避的目标，但是，任何基于隐私浏览检测的方法都会破坏隐身模式的原则。”