Компания Google объявила (https://security.googleblog.com/2019/07/bigger-rewards-for-s...) об увеличении сумм, начисляемых в рамках программы (https://www.google.com/about/appsecurity/chrome-rewards/inde...) выплаты вознаграждений за выявлении уязвимостей в браузере Chrome и лежащих в его основе компонентов.
Максимальный размер выплаты за создание эксплоита для выхода из sandbox-окружения увеличено с 15 до 30 тысяч долларов, за
метод обхода разграничения доступа в JavaScript (XSS) c 7.5 до 20 тысяч долларов, за организацию удалённого выполнения кода на уровне системы отрисовки с 7.5 до 10 тысяч долларов, за выявление утечек информации - с 4 до 5-20 тысяч долларов. Введены выплаты за методы спуфинга в интерфейсе пользователя ($7500), повышения привилегий в web-платформе ($5000) и обхода защиты от эксплуатации уязвимостей ($5000). В два раза увеличены выплаты за подготовку качественного и базового описания (тест для проявления проблемы и версия chrome) уязвимости без демонстрации эксплоита.
Кроме того, исследователям предоставлена возможность поэтапной публикации заявки - вначале можно сообщить о самом факте уязвимости, а позднее предоставить эксплоит для получении более высокого вознаграждения. Также до 1000 долларов увеличена бонусная выплата за выявления уязвимости при помощи Chrome Fuzzer.Для Chrome OS сумма за эксплоит для полной компрометации Chromebook или Chromebox из режима гостевого доступа увеличена до 150 тысяч долларов. Добавлены новые выплаты за уязвимости в прошивке и системе блокировки экрана.
В программе (https://www.google.com/about/appsecurity/play-rewards/index....) выплаты вознаграждений за уязвимости в приложениях (https://hackerone.com/googleplay) из Google Play стоимость информации об удалённо эксплуатируемой уязвимости увеличена с 5 до 20 тысяч долларов, утечке данных и доступе к защищённым компонентам с 1000 до 3000 долларов.
URL: https://security.googleblog.com/2019/07/bigger-rewards-for-s...
Новость: https://www.opennet.me/opennews/art.shtml?num=51125
А андроид?
У них денег не хватит
Прочитал что 2017 году доходы Google измерялись $110,86 млрд. Поплохело.. бросил чтение..
Бесполезно затыкать дырки в решете
Вовсе не бесполезно. Такая ситуация даже в народной сказке была продумана: очерендному Ивану-дураку как всегда "нарезали" якобы невыполнимых задач, в том числе и наносить воды ситом. Так он замазал дно глиной и формально выполнил задачу.
Вариант с бетонированием андроида может сработать.
Только вот потом все будут ныть "зачем нам второй иос"
С решеткой вам к Эплу скорее. Не так часто что-то находят, т.к. система закрытая, из того, что находили - ошибки чаще были фейспалмовыми, чем труднонаходимыми, что свидетельствует о плохом качестве кода. Вывод - никто не в курсе, сколько на черном рынке продается эксплоитов для айфончиков и макбуков, но мы знаем точно, что они так и остаются нераскрытыми массам.
Летняя конспирология.
А в ведре виноват часто не гугл, а Qualcom. Broadcom что-то намного реже вижу в release notes.
потому что НАШИ ведра - на qualcom. А про уязвимости в broadcom - это к microsoft обращайтесь.
Ваши вёдра с алишечки? То да :)
"Chrome OS", Ыыы! Я уже забыл, что это такое. Chrome правда видел.. на скриншотах :)