Google hat eine signifikante Erhöhung der Belohnungen für das Auffinden von Sicherheitslücken in seinem Chrome-Browser angekündigt. Die maximale Prämie für eine einzelne Schwachstelle wurde auf beeindruckende 250.000 USD verdoppelt. Diese Maßnahme unterstreicht das verstärkte Engagement des Technologieriesen für die Browsersicherheit und zielt darauf ab, Sicherheitsforscher zu detaillierteren Untersuchungen potenzieller Schwachstellen zu motivieren.
Neue Struktur für das Vulnerability Reward Program
Das überarbeitete Chrome Vulnerability Reward Program (VRP) führt eine differenziertere Bewertung von Sicherheitslücken ein. Der Fokus liegt nun verstärkt auf der Qualität der eingereichten Berichte und dem Bestreben der Forscher, die vollen Auswirkungen entdeckter Probleme aufzuzeigen. Grundlegende Berichte über Speicherschäden mit Stack-Trace und Proof-of-Concept können bis zu 25.000 USD einbringen. Deutlich höhere Prämien winken für hochwertigere Berichte, die Remote Code Execution (RCE) demonstrieren und einen funktionierenden Exploit liefern.
Maximale Belohnungen für kritische Schwachstellen
Die höchste Belohnung von 250.000 USD wird für den Nachweis einer RCE außerhalb der Sandbox ausgelobt. Besonders bemerkenswert ist, dass die Prämie noch weiter steigen kann, wenn eine RCE ohne Kompromittierung des Renderers erreicht wird. Google hat zudem die Belohnung für die Umgehung des MiraclePtr-Schutzmechanismus auf 250.128 USD mehr als verdoppelt – ein deutlicher Anstieg gegenüber der vorherigen Summe von 100.115 USD.
Erweitertes Spektrum prämierter Schwachstellen
Neben den Höchstprämien für kritische Sicherheitslücken bietet Google auch Belohnungen für andere Klassen von Schwachstellen. Die Höhe der Prämie richtet sich dabei nach dem Schweregrad, den potenziellen Auswirkungen und möglichen Schäden für Chrome-Nutzer. Zusätzliche Boni sind für Berichte vorgesehen, die alle erforderlichen Kriterien erfüllen. Google plant zudem, weitere experimentelle Belohnungsmöglichkeiten zu erkunden, ähnlich dem früheren Full Chain Exploit Reward-Programm.
Qualitätsanforderungen an Sicherheitsberichte
Amy Ressler, Sicherheitsingenieurin bei Chrome, betont die Bedeutung hochwertiger Berichte: „Berichte, die die Sicherheitsauswirkungen oder potenzielle Schäden für Benutzer nicht überzeugend demonstrieren oder rein theoretisch und spekulativ sind, kommen wahrscheinlich nicht für Prämien im Rahmen des VRP in Frage.“ Diese Klarstellung unterstreicht Googles Bestreben, konkrete und praktisch relevante Sicherheitsverbesserungen zu fördern.
Seit dem Start des Bug-Bounty-Programms im Jahr 2010 hat Google beeindruckende 50 Millionen USD an Sicherheitsforscher ausgezahlt, die über 15.000 Schwachstellen entdeckt haben. Diese jüngste Erhöhung der Prämien zeigt Googles anhaltendes Engagement für die Verbesserung der Browsersicherheit und die Förderung der Zusammenarbeit mit der Sicherheitsforschungsgemeinschaft. Für Cybersicherheitsexperten und ethische Hacker bietet dieses erweiterte Programm nicht nur lukrative finanzielle Anreize, sondern auch die Möglichkeit, einen bedeutenden Beitrag zur Sicherheit eines der weltweit meistgenutzten Webbrowser zu leisten.
