Recordando que Chrome Browser lleva 16 años en el mercado, y que su programa de recompensas, VPR (Vulnerability Reward Program) está activo desde hace 14, explicaba Amy Ressler, Information Security Engineer, que ha llegado el momento de “proporcionar una estructura mejorada y expectativas más claras para los investigadores de seguridad que nos informan errores e incentivar informes de alta calidad e investigaciones más profundas de las vulnerabilidades de Chrome, explorándolas hasta su máximo impacto y potencial de explotación”.
Así que, con las recompensas actualizadas, los investigadores de seguridad podrán ganar hasta 250.000 dólares por un solo problema, o incluso más si se cumplen condiciones específicas. Al igual que antes, los pagos más altos se destinarán a los investigadores que demuestren errores de corrupción de memoria en procesos que no estén en un entorno aislado.
En los casos caso de vulnerabilidades de corrupción de memoria, Google espera que los informes los demuestren con exploits funcionales que permitan la escritura controlada en ubicaciones arbitrarias de la memoria, desencadenando así la corrupción de memoria. Las recompensas por detectar estos fallos de corrupción de memoria son de 25.000, 10.000 y 7.000 dólares.
Para otro tipo de vulnerabilidades, las recompensas se basarán en la calidad del informe, el impacto y el daño potencial para los usuarios de Chrome.
Además, la recompensa por cualquier vulnerabilidad que evite MiraclePtr, la tecnología que reduce la posibilidad de explotación de problemas de uso después de liberación en Chrome, se ha incrementado a 250.128 dóalres, en comparación con los 100.115 dólares anteriores.
