Правила программы вознаграждения за уязвимости Chrome

Содержание: [Показать]

Программа вознаграждения за уязвимости Chrome была запущена в январе 2010 года, чтобы помочь вознаградить за вклад исследователей в области безопасности, которые вкладывают свое время и усилия, помогая нам сделать Chrome и Chrome OS более безопасными. В рамках этой программы мы предоставляем денежные вознаграждения и публичное признание уязвимостей, ответственных за обнаружение которых в проекте Chrome.

Объем программы

Любая ошибка безопасности в Chrome или Chrome OS может быть рассмотрена. Это так просто! *

* ну, это почти так просто. Два ключевых момента:

  • Нас интересуют ошибки, которые попадают в наши стабильные версии, бета-версии и каналы для разработчиков . Мы не поощряем поиск уязвимостей в сборках canary или trunk, потому что они не проходят тестирование выпуска и могут демонстрировать кратковременные регрессии, которые обычно выявляются и исправляются очень быстро.
  • Мы также хотели бы узнать об ошибках в сторонних компонентах, которые мы поставляем или используем (например, PDFium, Adobe Flash, ядро ​​Linux) . Ошибки могут иметь место, даже если они являются частью базовой операционной системы и могут проявляться через Chrome.

Квалифицирующие уязвимости

Обычно мы уделяем внимание критическим ошибкам, ошибкам со значительным и средним воздействием, но за любую продуманную уязвимость любой степени серьезности можно будет получить вознаграждение.

Следует помнить о трех правилах:

  • 1. Допускается только первый отчет по данной проблеме, о котором мы раньше не знали. В случае отправки дубликатов первым сообщением считается самый ранний отчет об ошибке, зарегистрированный в системе отслеживания ошибок.
  • 2. Ошибки, раскрытые публично или третьим лицам в целях, отличных от исправления ошибки, обычно не требуют вознаграждения. Мы поощряем ответственное раскрытие информации и считаем, что раскрытие информации - это улица с двусторонним движением; Наш долг - исправлять серьезные ошибки в разумные сроки.
  • 3. Мы принимаем во внимание, если отчет заставил нас внести полезные для безопасности изменения, то есть мы, скорее всего, не вознаградим, если бы мы исправили проблему без отчета.

Расследование и сообщение об ошибках

Обо всех ошибках следует сообщать через эту форму , в которой будут применяться правильные ярлыки и ограничения просмотра. Обратите внимание, что ваша отправка осуществляется по протоколу HTTPS и не требует дополнительного шифрования. Об ошибках, обнаруженных в серверных службах Google, следует сообщать в рамках Программы вознаграждений за уязвимости Google.

При исследовании уязвимости, пожалуйста, нацеливайте только на свои собственные компьютеры. Никогда не пытайтесь получить доступ к чьим-либо данным и не участвуйте в каких-либо действиях, которые могут нанести ущерб вашим другим пользователям или Google.

Обратите внимание, что мы можем отвечать только на отчеты о технических уязвимостях. Разработчики Chromium и компании, с которыми у Google уже существуют деловые отношения, могут не иметь права на получение вознаграждений. Ошибки, не связанные с безопасностью, и вопросы о проблемах с вашей учетной записью следует вместо этого направлять в справочные центры Google.

Отчеты публикуются через 14 недель после того, как они помечаются как исправленные, за исключением исключительных случаев. Это соответствует философии открытого исходного кода Chromium и предоставляет ценный ресурс для проведения исследования уязвимостей. Обратите внимание, что вложения считаются частью отчета.

Суммы вознаграждения

Вознаграждение за соответствующие ошибки безопасности обычно составляет от 500 до 150 000 долларов.

У нас есть постоянное вознаграждение в размере 150 000 долларов США для участников, которые могут скомпрометировать Chromebook или Chromebox с сохранением устройства в гостевом режиме (то есть постоянство гостя к гостю с промежуточной перезагрузкой, доставленной через веб-страницу).

В следующей таблице перечислены обычные награды, выбираемые за наиболее распространенные классы ошибок:



Качественный отчет с

функциональным эксплойтом Качественный отчет Исходный уровень
Выход из песочницы / повреждение памяти в процессе, не изолированном от песочницы 30 000 долл. США 20 000 долл. США До 15 000 долларов США
Универсальный межсайтовый скриптинг (включая обход изоляции сайта) 20 000 долл. США 15 000 долл. США До 10 000 долларов США
Рендерер RCE / повреждение памяти в изолированном процессе 10 000 долл. США 7 500 долл. США До 5000 долларов США
Подмена безопасности пользовательского интерфейса 7 500 долл. США Н / Д [1] До 3000 долларов США
Раскрытие информации о пользователях 5000–20 000 долларов Н / Д [1] До 2000 долларов США
Повышение привилегий веб-платформы 5 000 долл. США 3 000 долл. США До 1000 долларов США
Обход защиты от эксплуатации 5 000 долл. США 3 000 долл. США До 1000 долларов США
Chrome OS Увидеть ниже
Бонус Chrome Fuzzer 1000 долларов США
Бонус к патчу Chrome 500–2000 долларов

[1] Для этих классов ошибок ожидается, что высококачественные отчеты продемонстрируют подделку пользовательского интерфейса или покажут, как может быть раскрыта информация о пользователе, что мы рассматриваем как функциональную уязвимость.

Качество отчета

Качественные отчеты с функциональным эксплойтом:

  • Качественный отчет (как указано ниже) плюс:
  • Включите надежный эксплойт, демонстрирующий, что обнаруженная ошибка может быть легко, активно и надежно использована против наших пользователей.

У высококачественных отчетов обычно есть несколько из следующих характеристик:

  • Минимизированный тестовый пример.
  • Продемонстрируйте, что эксплуатация весьма вероятна.
  • Анализ, помогающий определить основную причину.
  • Отчет должен быть кратким и хорошо написанным, содержать только необходимые детали и комментарии.
  • Отвечайте на вопросы инженеров, работающих над исправлением ошибки.
  • Предлагаемый патч.

В базовых отчетах должно быть как минимум:

  • Свернутый тестовый пример или выходные данные фаззера, которые указывают на ошибку безопасности, присутствуют без подтверждения того, что проблема уязвима.
  • Версии Chrome, затронутые ошибкой.

В отчетах следует избегать:

  • Только аварийный дамп.
  • Трассировка стека без символов.
  • Без Proof of Concept (PoC) или PoC низкого качества (например, большой дамп нечеткого файла без попытки сокращения), что позже подтверждается как законная проблема.

Указанные суммы предназначены для отчетов хорошего качества, которые не требуют сложного или маловероятного взаимодействия с пользователем . Менее убедительные или более ограниченные сообщения об ошибках, скорее всего, будут иметь право на снижение суммы вознаграждения, которое выбрано по усмотрению панели вознаграждения.

Вознаграждения распространяются на Chrome для Win 7+, macOS10 v10.10+, Linux, Android 4.4+, iOS 7+ и на текущие версии Chrome OS .

Решение о предоставлении вознаграждения и размер вознаграждения всегда определяются по собственному усмотрению комиссии по вознаграждению. В частности, мы можем решить заплатить более высокое вознаграждение за необычно умные или серьезные уязвимости; решить, что один отчет на самом деле содержит несколько ошибок; или что несколько отчетов настолько тесно связаны, что требуют только одного вознаграждения.

Мы понимаем, что некоторых из вас деньги не интересуют. Мы предлагаем возможность пожертвовать вашу награду благотворительной организации, зарегистрированной у нашего благотворительного партнера. Если вы это сделаете, мы удвоим ваше пожертвование - по нашему усмотрению. Любые награды, которые не будут востребованы через 12 месяцев, будут переданы благотворительной организации по нашему выбору.

Дополнительные награды Chrome

Вдобавок к этим наградам мы предлагаем от 500 до 2000 долларов, если вместе с отчетом будет предоставлен хорошо написанный патч. Размер этой награды определяется комиссией в зависимости от качества и усилий, необходимых для написания хорошего патча для ошибки. Важные исправления также могут быть отправлены в рамках нашей программы вознаграждений за исправления.

Бонус за эксплойт V8

Отчеты, касающиеся V8, которые ясно демонстрируют возможность использования, могут претендовать на повышенное вознаграждение, как указано в таблице ниже. Ошибки V8 в других категориях по-прежнему могут быть квалифицированы по усмотрению комиссии.

Качественный отчет с

функциональным эксплойтом Качественный отчет Исходный уровень
Рендерер RCE / повреждение памяти в изолированном процессе До 20 000 долларов США До 15 000 долларов США Не указано [2]
Обход защиты от эксплуатации До 10 000 долларов США До 6000 долларов США Не указано [2]

[2] Базовые отчеты не соответствуют требованиям для получения этой специальной награды.

Отчеты об ошибках V8 на уровне «высококачественный отчет с функциональным эксплойтом» могут быть квалифицированы без дополнительных усилий со стороны репортера. Ошибки V8 на уровне «высокого качества» могут быть квалифицированы, если они включают в себя доказательства возможности их использования в рамках своего анализа.

Ниже приведены некоторые примеры того, как отчет может продемонстрировать, что эксплуатация возможна, но любой анализ или подтверждение концепции будет рассмотрено комиссией:

  • Выполнение шелл-кода из контекста chrome или d8
  • Создание примитива эксплойта, который позволяет произвольно читать или записывать на определенные адреса или контролируемые злоумышленником смещения.
  • Демонстрация управления указателем инструкции
  • Демонстрация обхода ASLR путем вычисления адреса в памяти объекта способом, доступным скрипту.
  • Предоставление анализа того, как ошибка может привести к путанице типа с JSObject

См. Проблемы 914736 и 1076708, где приведены примеры отчетов, которые это делают.

Chrome OS

У нас есть постоянное вознаграждение в размере 150 000 долларов США для участников, которые могут скомпрометировать Chromebook или Chromebox с сохранением устройства в гостевом режиме (т. Е. Постоянство гостя для гостя с промежуточной перезагрузкой, осуществляемой через веб-страницу).

Отчеты Chrome OS должны быть нацелены на официальное оборудование Chrome OS, работающее в проверенном режиме. Отчеты, которые нарушают отдельные слои, не включая вектор, вызывающий ошибку через веб-страницу или вредоносное приложение, могут быть оценены в режиме разработчика для создания соответствующего начального условия.

Помимо классов ошибок Chrome, распознаваемых программой, нас интересуют отчеты, демонстрирующие уязвимости в оборудовании, прошивке и компонентах ОС Chrome OS.

Дополнительные компоненты входят в состав отчетов о побегах из песочницы в Chrome OS. К ним относятся:

  • Выход из контейнера Android для взлома браузера или платформы Chrome OS.
  • Переход из изолированной программной среды службы платформы Chrome OS к привилегиям root.
  • Выход из среды Linux на Chromebook (также известной как Crostini) для компрометации компонентов платформы Chrome OS.
  • Получение исполнения кода в контексте ядра.
  • Эскалация компромисса через границы пользователей.

Нас также интересуют отчеты, демонстрирующие уязвимости во встроенном ПО, в частности в встроенном ПО основного процессора, встроенном ПО встроенного контроллера, встроенном ПО отпечатков пальцев и встроенном ПО H1, которые влияют на критически важные функции безопасности. Отчеты, нацеленные на периферийное микропрограммное обеспечение, такое как модули Wi-Fi и Bluetooth, вознаграждаются в зависимости от их влияния на безопасность ОС.

Проверенная загрузка Chrome OS предназначена для предотвращения сохранения компрометации при перезагрузке. Отчеты об ошибках, которые препятствуют проверенной загрузке и позволяют злоумышленнику сохранить контроль при перезагрузке, рассматриваются для получения специальных вознаграждений.

Биометрические данные в Chrome OS зашифрованы в состоянии покоя и изолированы различными способами для предотвращения несанкционированного доступа через программное обеспечение. Обратите внимание, что аппаратные атаки, требующие физического доступа, такие как вскрытие корпуса, не входят в область действия.

Экран блокировки Chrome OS защищает запущенные пользовательские сеансы от несанкционированного доступа случайных местных злоумышленников. Мы вознаграждаем исследования, которые демонстрируют способы обхода экрана блокировки - например, атаки, которые приводят к утечке информации из заблокированного сеанса пользователя или манипулированию состоянием сеанса. Обратите внимание, что аппаратные атаки (например, атаки с холодной загрузкой), которые требуют открытия корпуса или непрактичны для случайного злоумышленника, не входят в сферу действия.

Качественный отчет с подтверждением концепции / эксплойта Качественный отчет Исходный уровень
Выход из песочницы, прошивка и биометрические данные 30 000 долл. США 20 000 долл. США До 15 000 долларов США
Обход блокировки экрана 5 000–15 000 долл. США
Постоянство Chrome OS 5 000–15 000 долл. США

Программа Chrome Fuzzer

Программа Chrome Fuzzer позволяет запускать фаззеры на оборудовании Google в масштабе Google на тысячах ядер. Вы получаете 100% вознаграждения за любые ошибки, обнаруженные вашим фаззером, плюс бонус в размере 1000 долларов США при условии, что один из наших фаззеров не обнаружил ту же ошибку в течение 48 часов. Участвовать можно двумя способами:

LibFuzzer позволяет проводить нечеткое тестирование отдельных компонентов в браузере Chrome, а фаззеры на основе libFuzzer так же легко писать, как и модульные тесты. Любой участник Chromium может отправить их в базу кода Chromium, которая будет непрерывно обрабатываться и масштабироваться нашей системой автоматизации фаззинга ClusterFuzz.

Можно также написать фаззеры для прямого использования ClusterFuzz. Это позволяет писать фаззеры на широком спектре языков и использовать более продвинутые возможности ClusterFuzz. Раньше это было доступно только участникам Программы доверенных исследователей, но теперь оно доступно для всех.

Перед отправкой фаззеры, использующие любой из методов, должны:

  • Тестовые функции, поставляемые в производственном коде, восприимчивы к злонамеренному вводу пользователя.
  • Обнаружили как минимум одну уязвимость при локальном тестировании и зарегистрировали ее в трекере Chromium.

Если у вас есть фаззер, работающий как часть программы Chrome Fuzzer Program, вы не получите вознаграждение, если один из наших фаззеров обнаружит ту же ошибку в течение 48 часов, поскольку Clusterfuzz, возможно, просто запланировал ваш фаззер раньше нашего.

Все фаззеры работают по усмотрению Google.

Часто задаваемые вопросы

В: Как я могу максимизировать потенциальное вознаграждение за свой отчет?

О: Наша самая низкая награда за допущенные ошибки составляет 500 долларов. Если панель вознаграждений сочтет ошибку особенно серьезной, значение может быть выше, чем указано в таблице выше. Чтобы повысить свои шансы, пожалуйста, придерживайтесь рекомендаций, приведенных в разделе «Сообщение об ошибках безопасности».

В: Как мне узнать, подходит ли моя ошибка?

A: Ошибки, о которых сообщают извне, автоматически рассматриваются для получения вознаграждения после их исправления, после чего вы увидите, что к вашей ошибке добавлен ярлык «награда-верхняя панель», указывающий, что он скоро появится на собрании панели вознаграждений. Ошибка будет обновлена ​​снова, как только панель примет решение.

В: Что произойдет, если я сообщу об ошибке до того, как вы ее исправите?

О: Ознакомьтесь с нашей позицией по раскрытию уязвимостей. По сути, мы обещаем вам незамедлительно реагировать и исправлять ошибки в разумные сроки - и взамен мы просим разумное заблаговременное уведомление. Отчеты, противоречащие этому принципу, обычно не квалифицируются, но мы будем оценивать их в индивидуальном порядке.

В: Я хочу сообщить о проблеме через брокера уязвимостей / кого-то, кроме вас. Будет ли мой отчет по-прежнему претендовать на вознаграждение?

О: Мы считаем, что раскрытие уязвимости в частном порядке третьим лицам в целях, отличных от фактического исправления ошибки, противоречит духу программы. Следовательно, такие отчеты обычно не соответствуют требованиям.

В: Что, если кто-то другой также обнаружил ту же ошибку?

О: Допускается только первое сообщение о проблеме, о которой мы раньше не знали. В случае отправки дубликатов первым сообщением считается самый ранний отчет об ошибке, зарегистрированный в системе отслеживания ошибок.

В: А как насчет ошибок, присутствующих в Google Chrome, но не в проекте с открытым исходным кодом Chromium?

О: Ошибки в любой сборке могут иметь место. Кроме того, обычно допускаются ошибки в надстройках, которые по умолчанию поставляются с Google Chrome (например, PDFium, Adobe Flash). Ошибки в сторонних плагинах и расширениях недопустимы.

В: Соответствую ли я требованиям, если я публично сообщу о проблеме после ее устранения?

О: Да, безусловно, как только исправление ошибки будет выпущено для пользователей на нашем стабильном канале. Мы поощряем открытое сотрудничество. Мы также обязательно укажем вас в соответствующих примечаниях к выпуску Google Chrome.

В: А как насчет ошибок в других каналах, кроме стабильного?

О: Нас интересуют ошибки в каналах Stable, Beta и Dev, потому что всем лучше найти и исправить ошибки до того, как они попадут в канал Stable. Тем не менее, мы не рекомендуем тестировать сборки canary или trunk, потому что они не проходят тестирование выпуска и могут демонстрировать кратковременные регрессии, которые обычно выявляются и исправляются очень быстро.

В: А как насчет ошибок в функциях, которые не включены по умолчанию?

О: Функции часто разрабатываются за флажком, который не включен по умолчанию. Сообщение об ошибках безопасности в таком коде помогает обеспечить защиту пользователей при включении этой функции. Однако журналисты должны знать, что мы, скорее всего, не вознаградим, если уверены, что исправили бы проблему без отчета до того, как функция будет включена.

По состоянию на август 2020 года примером функции, не включенной по умолчанию, является XFA в PDFium. Эта функция не включена, и в настоящее время разрабатывается проект по переносу кодовой базы XFA в библиотеку сборщика мусора Oilpan. Ошибки в XFA, которые нельзя будет использовать после завершения проекта, скорее всего, не будут вознаграждены.

В: А как насчет ошибок в сторонних компонентах?

О: Эти ошибки часто допустимы (например, libxml, библиотеки изображений, библиотеки сжатия и т. Д.). Пока они могут проявляться в Chrome или влиять на него, ошибки могут иметь место, даже если они вызваны компонентами операционной системы или стандартных библиотек. Мы заинтересованы в вознаграждении за любую информацию, которая позволяет нам лучше защищать наших пользователей. В случае ошибок во внешнем компоненте мы будем рады позаботиться о том, чтобы ответственно уведомить другие затронутые стороны.

В: Можете ли вы сохранить в тайне мою личность от остального мира?

О: Если вы выбраны в качестве получателя награды и вы ее принимаете, нам потребуются ваши контактные данные, чтобы заплатить вам. Однако, по вашему усмотрению и если вы спросите нас до того, как ошибка будет упомянута в примечании к выпуску, мы можем присвоить ошибку «анонимному», хотя учтите, что в ней все еще может содержаться идентифицирующая информация.

В: Могу ли я отправить отчет (-ы) сейчас и предоставить рабочий эксплойт позже? Есть ли ограничение по времени для отправки эксплойта?

A: Определенно! Мы поощряем такой подход, поскольку он позволяет нам работать над исправлением ошибок в кратчайшие сроки. Это также сводит к минимуму вероятность того, что кто-то другой сообщит о той же проблеме, пока вы разрабатываете эксплойт. Хотя у нас нет установленного срока, мы ожидаем, что эксплойт появится в течение нескольких недель после первоначального отчета. Эксплойты, отправленные за пределами этого срока, вряд ли будут вознаграждены. В случае наличия нескольких ошибок все они должны воспроизводиться в одной ревизии.

В: Что такое программа для доверенных исследователей? Сможешь запустить мой фаззер?

О: Программа Trusted Researcher теперь является частью программы Chrome Fuzzer.

Самый простой способ получить приглашение в эту программу - сообщить об ошибках качества, обнаруженных в одном из ваших фаззеров. Если нам нравится то, что мы видим, мы сообщим подробности!

Вопрос: Имеют ли право на получение специальных вознаграждений за новые функции специальные вознаграждения за ошибки, обнаруженные фаззером программы Chrome Fuzzer Program?

О: Только в том случае, если фаззер специально нацелен на новую функцию и был отправлен нам в течение периода времени Специального вознаграждения за новую функцию и обнаруживает ошибки в рамках, как определено выше. В противном случае ошибки будут рассматриваться на обычных уровнях вознаграждения.

В: А как насчет полных эксплойтов на платформах, отличных от Chrome OS?

О: Мы заинтересованы в полноцепочечных эксплойтах против Chrome, работающих на других платформах. Например, ссылаясь на приведенную выше таблицу, высококачественный эксплойт с полной цепочкой, который выходит из песочницы на платформах, отличных от Chrome OS, вероятно, получит не менее 40 000 долларов (30 000 долларов за экранирующую часть песочницы, 10 000 долларов за выполнение кода в рендерере). . Кроме того, любые другие ошибки в операционной системе, которые могут проявляться через Chrome, также, вероятно, будут вознаграждены.

В: Будет ли Google вознаграждать за ошибки, не указанные в таблице выше?

Ответ: Да. Мы заинтересованы в вознаграждении за любую информацию, которая позволяет нам лучше защищать наших пользователей. Все наши суммы вознаграждения основаны на качестве отчета и влиянии ошибки на безопасность.

В: Вы недавно изменили рекомендации по сумме вознаграждения, но моя ошибка была вознаграждена по старым правилам. Вы будете платить разницу до новой суммы?

A: Боюсь, что нет. Мы вознаграждаем на основе правил, которые действовали на момент отправки сообщения об ошибке.

В: Подпольный рынок / моя подруга Ева платит больше за мои ошибки! Стимулируют ли эти сравнительно низкие уровни вознаграждения продажу жуков людям в плащах и темных солнцезащитных очках?

О: Мы понимаем, что есть темные уголки Интернета, которые могут заплатить вам больше денег за покупку любых обнаруженных вами уязвимостей или разработанных вами уязвимостей. Эти люди покупают уязвимости и эксплойты в наступательных целях, чтобы нацеливаться на других пользователей Интернета. Мы считаем, что вознаграждение, которое вы получаете в этих обстоятельствах, связано с определенными условиями, включая покупку вашего молчания и согласие с тем, что любая продаваемая вами ошибка может быть использована для нацеливания на других людей без их ведома. Мы понимаем, что размер нашего денежного вознаграждения может быть меньше, чем эти альтернативы, но мы предлагаем вам публично признать ваши навыки и то, насколько вы хороши, быстрое решение проблемы и возможность открыто написать в блоге / поговорить / рассказать о своей потрясающей работе (пока еще предлагая вам очень хорошее финансовое вознаграждение за вашу работу!). Вас также'Вам * никогда * не придется беспокоиться о том, что ваши ошибки использовались теневыми людьми в неизвестных целях.

В: Когда я получу вознаграждение?

О: После того как ошибка была обновлена ​​с сообщением о вознаграждении, подождите, пока член команды Google Финансов свяжется с вами, чтобы согласовать вашу платежную информацию, обычно примерно через неделю после того, как ошибка была обновлена ​​с подробной информацией о вознаграждении. После регистрации вы должны получить оплату в течение 2–4 недель.

В: Я думаю, что Panel присудила мне вознаграждение за отчет неправильно?

О: Свяжитесь с нами по адресу security-vrp@chromium.org и подробно объясните, почему, по вашему мнению, мы должны пересмотреть ваш отчет.

В: Можете ли вы пояснить различия между категориями вознаграждений, указанными в таблице выше?

A: Конечно! Более подробную информацию о категориях и примерах можно найти здесь.

В: А как насчет вознаграждений за изоляцию сайтов?

О: Более подробную информацию о наградах за изоляцию сайтов можно найти здесь.

В: У вас есть вопрос, связанный с безопасностью, которого здесь нет?

О: Загляните в FAQ по безопасности Chrome, чтобы узнать, есть ли там ответ на ваш вопрос.

Юридические вопросы

Мы не можем выдавать вознаграждения лицам, которые включены в санкционные списки или находятся в странах (например, Куба, Иран, Северная Корея, Судан и Сирия) в санкционных списках. Вы несете ответственность за любые налоговые последствия в зависимости от вашей страны проживания и гражданства. Могут быть дополнительные ограничения на вашу возможность участвовать в зависимости от вашего местного законодательства.

Это не соревнование, а экспериментальная и дискреционная программа вознаграждений. Вы должны понимать, что мы можем отменить программу в любое время, и решение о выплате вознаграждения должно приниматься исключительно по нашему усмотрению.

Конечно, ваше тестирование не должно нарушать какие-либо законы, нарушать или ставить под угрозу любые данные, которые вам не принадлежат.