Google hat Pläne angekündigt, den Geldbetrag, der denjenigen zur Verfügung steht, die ihre Ergebnisse an sein Vulnerability Reward Program (VRP) für Chrome einreichen, unter bestimmten Umständen zu verdreifachen, wobei bis Anfang Dezember 2023 Gewinne von bis zu 180.000 US-Dollar zur Verfügung stehen.
In einer Pressemitteilung sagte der Browserhersteller, dass der erste Sicherheitsfehlerbericht, der mit einem funktionsfähigen Full-Chain-Exploit eingeht, der zu einem Chrome-Sandbox-Fluchtversuch führt, Anspruch auf das Dreifache des regulären vollen Belohnungsbetrags hätte, was bedeutet, dass 165.000 bis 180.000 US-Dollar auf dem Spiel stehen könnten .
Zusätzlich zu dieser lebensverändernden Summe könnten möglicherweise weitere Boni verfügbar sein. Darüber hinaus könnten nachfolgende vollständige Ketten, die über das VRP an Google übermittelt werden, Anspruch auf das Doppelte des vollen Prämienbetrags (oder 110.000–120.000 US-Dollar) haben.
Google bietet 180.000 US-Dollar für die Suche nach Chrome-Fehlern
Google erklärte, um Anspruch auf den höchsten Geldbetrag zu haben, „muss die Ausbeutung aus der Ferne erfolgen können und nicht oder nur in sehr begrenztem Umfang auf Benutzerinteraktion angewiesen sein.“
Sie sollten auch in einem aktiven Release-Kanal von Chrome funktionsfähig sein, nicht in einer früheren Version, obwohl dies auch Dev-, Beta-, Stable- und Extended Stable-Kanäle umfassen kann.
Laut Chrome VRP Buchseite von Googles Bug Hunters könnten weitere Boni für die Identifizierung der frühesten Hauptversion oder des ältesten aktiven Release-Kanals, der von der Sicherheitslücke betroffen ist, für die Identifizierung des für die Sicherheitslücke verantwortlichen Commits und aus einer Handvoll anderer Gründe ausgegeben werden.
Auf der VRP-Seite wird auch detailliert beschrieben, wie erfolgreiche Kandidaten, die ihre Belohnung nicht behalten möchten, diese für wohltätige Zwecke spenden lassen können. Dabei erwägt Google, den Wert im Rahmen einer Wohltätigkeitsspende zu verdoppeln.
Ausführliche Informationen zum Chrome Vulnerability Reward Program finden Sie auf der dedizierten Website von Google Webseite.