どうもYnek0です。
気になるニュースを見つけてきたので今回はこちらをご紹介。
Google Chromeの脆弱性報奨金プログラム(VRP)大幅値上げ
おぉ、前にも値上げのニュースが流れたと思ったらさらに倍プッシュしてくるんか……
そもそもVRPとはなにか
要するに外部でGooglechromeのバグを見つけた人たちには報奨金を支払いますよって制度です。
VRPの条件等
以下 日本語翻訳&要約
プログラムの概要
このプログラムは、Chromeブラウザとその関連プロジェクトの安全性を向上させることを目的としています。研究者が発見した重大な脆弱性に対して報奨金を提供しています。
対象範囲
Chromeブラウザ(デスクトップ版とモバイル版)
Chromium OS
Chrome拡張機能やChrome Webストアなどの関連プロジェクト
報奨金の条件
脆弱性は新規で、未報告のものである必要があります
報告は詳細で再現可能でなければなりません
脆弱性の深刻度に応じて報奨金額が決定されます
報告プロセス
バグを発見したら、Chromeのバグトラッカーに報告します
報告には「Security」ラベルを付けます
必要に応じて、追加情報を提供します
注意事項
他人のデータにアクセスしたり、システムに損害を与えたりしてはいけません
脆弱性の悪用や公開は控えてください
プログラムの規則は予告なく変更される可能性があります
このプログラムは、Chromeの安全性向上に貢献する研究者を支援し、ユーザーの保護を目指しています。
どの程度上がるのか
で、気になるのがどの程度上がってくるのかって話ですね。どのバグかによるものも多いらしくいくつか分けられているみたいです。
為替は2024/09/02時点の為替を参考に作っています。
最高報奨金額
非サンドボックスプロセスでのリモートコード実行(RCE)の実証に対して、最大250,000ドル(3653万4625円)の報奨金が提供されるようになりました。
これは以前の最高額である約115,000ドルから2倍以上の増額となります。まさに倍プッシュ
MiraclePtr関連の報奨金
MiraclePtrのバイパスを発見した場合の報奨金が、100,115ドルから250,128ドル(3657万8843円)に増額されました。
その他の脆弱性カテゴリ
メモリ破壊以外の脆弱性についても、影響度に応じて1,000ドルから30,000ドルの範囲で報奨金が提供されます。
報告の質に応じた報奨金
高品質な報告や脆弱性の影響をより深く分析した報告に対して、より高額の報奨金が提供されるようになりました。
筆者の感想
