其他
谷歌发布 V8 Exploit 漏洞奖励计划,奖金加倍
编译:奇安信代码卫士团队
今日,谷歌 Chrome 漏洞奖励计划宣布称,将为演示 V8 (Chrome 的 JavaScript 引擎)可利用性的漏洞报告发放额外奖金。
谷歌指出,这样做的目的是了解更多关于不同 V8 漏洞类的可利用性以及了解何种机制可使最初的 bug 实现为完整的 exploit。
谷歌表示,能够清楚地验证V8漏洞可利用性的漏洞报告可获得更多奖金,而其它类型的 V8 漏洞,按照漏洞评审专家组的意见,可能也是符合条件的。
“含有起作用的exploit 的高质量报告”可能无需其它证明即可获得奖金资格。如果漏洞报告的分析部分包含V8漏洞可遭利用的内容,则“高质量”级别的 V8 漏洞也是合格的。
谷歌给出了如下一些如可证实可利用性的漏洞报告例子,不过指出漏洞奖励计划专家组将会考虑任何分析或 PoC:
在 Chrome 或 d8 上下文中执行 shellcode
创建一个 exploit 原语,导致读写特定地址或受攻击者控制的偏移
演示指令指针控制
通过计算(暴露给脚本)对象的内存地址演示 ASLR 绕过
提供关于某漏洞如何通过 JSObject可导致类型混淆的分析
谷歌推出 GKE 开源依赖关系漏洞奖励计划
谷歌宣布 Pixel Titan M 芯片漏洞奖励计划,最高150万美元
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。