Google пообещала выплатить в общей сложности миллион долларов всем, кто сможет обойти механизмы защиты веб-браузера Chrome на открывающейся через неделю хакерской конференции Pwn2Own. Согласно сообщению компании, Google наградит участников денежными призами в 60, 40 и 20 тысяч долларов в зависимости от уровня опасности взлома и наличия эксплоита, обходящего защиту Chrome в среде Windows 7. Согласно данным Google, денежные призы будут раздаваться до тех пор, пока весь призовой фонд в миллион долларов не будет израсходован. Напомним, что конференция Pwn2Own проводится в США уже шестой год подряд. В прошлом году компания Tipping Point раздавала призы в размере 15 тысяч долларов за открытые новые баги в браузерах. (09:24) 28.02.2012 http://cybersecurity.ru/crypto/145209.html
Google предлагает вознаграждение за эксплойты $20000-$60000 Компания Google объявила о расширении программы вознаграждений Chromium Security Rewards. В частности, предлагается премия за 0-day эксплойты Chrome, Flash, Windows и др. За них будут платить от $20K до $60K. Программа Chromium Security Rewards предполагает выплату вознаграждения за найденные уязвимости в Chrome. Похожая программа действует для всех продуктов Google, размер вознаграждения варьируется от $500 до $3133,70, в зависимости от серьёзности бага. С введением премии за эксплойты размер оплаты за обычные уязвимости остаётся прежним. Поскольку сделать хороший работающий экплойт гораздо сложнее, чем просто найти подходящую уязвимость, то и вознаграждение будет в десятки раз выше. Специалисты Google говорят, что для них получение и анализ хорошего эксплойта, который работает от начала и до конца, — это отличный урок, он даёт возможность не только устранить баг, но тщательно изучить проблему и техники, которые могут использовать злоумышленники. В общем, это действительно ценная информация, которая поможет программистам Google улучшить механизм автоматического тестирования ПО, работу песочницы. Она стоит своих денег. На выплату вознаграждения за эксплойты на конференции CanSecWest компания Google выделила призовой фонд 1 миллион долларов США, одновременно отказавшись от участия в конференции Pwn2Own, где по новым правилам участники не обязаны предоставлять эксплойты вендорам. Опыт прошлых лет показывает, что призовой фонд может остаться нетронутым, или израсходуется по минимуму. Всё-таки новый 0-day эксплойт является редкостью. В этом случае, вероятно, действие предложения Google будет продлено. Итак, вот конкретные категории эксплойтов и суммы вознаграждения, которые предлагает Google. $60 000. Полный Chrome-эксплойт: контроль пользователя под Win7, используя только баги в самом Chrome. $40 000. Частичный Chrome-эксплойт: контроль пользователя под Win7, используя как минимум один баг в самом Chrome, плюс другие баги. Например, можно взять баг в WebKit и баг в песочнице Windows. $20 000. Утешительный приз за эксплойты с использованием багов Flash, Windows и др., если удалось через них получить доступ в систему. Здесь необязательно использовать специфические уязвимости Chrome, так что эксплойты могут работать в любом браузере. Эта награда не несёт никакой пользы для Google, но помогает сделать весь интернет безопаснее, то есть Google выполняет тут некую социальную миссию.
Где будет проводится конференция? У меня давненько лежит бага buffer overflow, которая была найдена случайно с помощью заметок ВКонтакте Никак не мог понять че браузер вылетает и че за ошибка, пока знакомый в асике не обьяснил