Google verhoogt maximale bugbountybeloning voor geheugenbugs in Chrome

Google verhoogt de maximale bugbountybeloning voor Chrome-kwetsbaarheden. Sandbox-ontsnappingen kunnen maximaal 250.000 dollar opleveren, terwijl dat eerst nog 40.000 dollar was. Google verandert ook de manier waarop het geheugenbeschadigingsbugs beloont.

Google schrijft in een blogpost dat het 'diepgravend onderzoek' naar kwetsbaarheden in Chrome beter wil belonen. Het bedrijf past daarom de structuur aan voor het verhelpen van geheugenbeschadigingen in de browser. Zo maakt het voortaan onderscheid in rapporten die beschrijven hoe een aanvaller in de praktijk een remote code execution kan veroorzaken. Een rapport waarin een onderzoeker beschrijft hoe hij code kan schrijven naar specifieke plaatsen in het geheugen, levert maximaal 90.000 dollar op. Een beschrijving van een geheugenbeschadiging levert maximaal 35.000 dollar op.

Bedrijven belonen steeds vaker de manier waarop bugbountyrapportages worden ingediend. Goed beschreven rapportages die ook praktische uitvoeringen bevatten, leveren vaak meer op. Daarvoor is vaak ook meer onderzoek nodig, waardoor dat meerwerk meer oplevert.

Google verandert ook de manier waarop het beloningen voor andere soorten bugs uitdeelt. Het bedrijf kijkt onder andere naar de praktische impact voor de eindgebruiker. Bij het beoordelen wordt gekeken naar hoe groot de kans is dat een bug in de praktijk wordt uitgebuit, aan welke voorwaarden de browser moeten voldoen voordat uitbuiting mogelijk is en wat de uiteindelijke schade kan zijn. Bugs worden in de toekomst ingeschaald op een lage, medium of hoge impact en ook op die manier beloond.