تسجيل الدخول
برنامج ذكاء اصطناعي من غوغل يكشف السرطان       تقنية الليزر تثبت أن الديناصورات كانت تطير       يوتيوب تي في.. خدمة جديدة للبث التلفزيوني المباشر       الخارجية الأمريكية تنشر ثم تحذف تهنئة بفوز مخرج إيراني بالأوسكار       الصين تدرس تقديم حوافز مالية عن إنجاب الطفل الثاني       حفل الأوسكار يجذب أقل نسبة مشاهدة أمريكية منذ 2008       تعطل في خدمة أمازون للحوسبة السحابية يؤثر على خدمات الإنترنت       حاكم دبي يقدم وظيفة شاغرة براتب مليون درهم       ترامب يتعهد أمام الكونغرس بالعمل مع الحلفاء للقضاء على داعش       بعد 17 عاما نوكيا تعيد إطلاق هاتفها 3310       لافروف: الوضع الإنساني بالموصل أسوأ مما كان بحلب       فيتو لروسيا والصين يوقف قرارا لفرض عقوبات على الحكومة السورية       بيل غيتس يحذر العالم ويدعوه للاستعداد بوجه الإرهاب البيولوجي       ابنا رئيس أمريكا يزوران دبي لافتتاح ملعب ترامب للغولف       رونالدو وأنجلينا جولي ونانسي عجرم في فيلم يروي قصة عائلة سورية نازحة      



250 ألف دولار راتب قراصنة Google Chrome


القاهرة: الأمير كمال فرج.

أعلنت شركة Google أمس عن تغييرات في برنامج مكافأة الثغرات الأمنية في كروم والتي توفر هيكلًا أكثر وضوحًا ومكافآت جديدة تحفز الإبلاغ عالي الجودة والبحث المتعمق عن ثغرات كروم.

ذكر ديفي ويندر في تقرير نشرته مجلة Forbes أن " متصفح Google Chrome يبلغ من العمر 16 عامًا الآن، وبعد عامين فقط من صدوره، أعلنت الشركة برنامج مكافأة الثغرات الأمنية، والذي يدفع مكافآت نقدية للباحثين الأمنيين من أجل الاستمرار في تحسين أمان المتصفح مع مليارات المستخدمين".

التغييرات التي طرأت على برنامج مكافأة الثغرات الأمنية في Chrome من Google

قررت Google الانتقال من تقديم عرض جدولي بسيط نسبيًا للمكافآت للثغرات الأمنية المبلغ عنها والتي لم يتم التخفيف منها، وفصل عيوب تلف الذاكرة عن بقية الأخطاء. قالت إيمي ريسلر، مهندسة الأمن في فريق أمان Chrome أن "هذا بتحفيز سيسمح لنا بالمزيد من الأبحاث الأكثر تأثيرًا في كل مجال"، "كما سيكافئنا على التقارير ذات الجودة الأعلى والأكثر تأثيرًا".

مكافآت ثغرة تلف الذاكرة في Google Chrome

لنبدأ بمنطقة ثغرات تلف الذاكرة، والتي شهدت إعادة تصميم كاملة إلى أربع فئات مميزة:

تقرير عالي الجودة مع عرض واضح لتنفيذ التعليمات البرمجية عن بُعد من خلال استغلال وظيفي.
تقرير عالي الجودة يوضح الكتابة التي يتحكم فيها المهاجم لمواقع عشوائية في الذاكرة.
تقرير عالي الجودة يوضح تلف الذاكرة في Chrome.
تقرير أساسي يتكون من تتبع المكدس وهو بنية بيانات خطية تحتوي على تسلسل خطي ومرتب من العناصر، وإثبات المفهوم لإثبات تلف الذاكرة القابل للتشغيل في Chrome.

من أجل تحفيز هذا البحث الأعمق ليس فقط في الثغرة الأمنية ولكن أيضًا في عواقب استغلالها، أكدت ريسلر أن "المكافآت زادت في جميع الفئات باستثناء الفئة الأساسية، وهذا يعني أن أقصى ما يمكن أن يتوقعه المخترق من مكافأة لمشكلة واحدة هو الآن 250 ألف دولار، على الرغم من أنه يمكن زيادتها، إذا كان من الممكن تحقيق RCE "تنفيذ النصوص البرمجية العشوائي" في عملية غير محمية دون اختراق برنامج العرض".

أخطاء أخرى في Chrome مصنفة حسب التأثير

بالطبع، في حين أن نقاط ضعف تلف الذاكرة قد تكون الأكثر قيمة، إلا أنها بعيدة كل البعد عن الأخطاء الوحيدة في Google Chrome التي يمكن العثور عليها. وبالتالي، فإن التغييرات التي طرأت على بنية برنامج مكافآت الثغرات الأمنية VRP مصممة أيضًا لتشجيع "قرارات المكافأة الأكثر حتمية بناءً على جودة التقرير والتأثير والضرر المحتمل للأشخاص الذين يستخدمون Chrome"، ويؤكد منشور ريسلر أن هذه سيتم تقسيمها إلى ثلاث فئات اعتمادًا على مستوى تأثيرها:

التأثير المنخفض: هو تلك الثغرات التي يكون فيها احتمال الاستغلال أقل، إلى جانب كون الشروط المسبقة اللازمة للاستغلال مهمة. بعبارة أخرى، تلك التي تتمتع بقدر أقل من سيطرة المهاجم وإمكانية أقل لإلحاق ضرر جسيم بالمستخدم.

التأثير المعتدل: كما قد تتوقع، يقع في المنتصف لتلك الثغرات التي تتطلب درجة معتدلة من شروط الاستغلال، وتمنح المهاجم درجة متوسطة من التحكم.

التأثير العالي: أعلى فئة تأثير هي للثغرات ذات أسهل مسارات الاستغلال إلى جانب إمكانية الاستغلال عن بعد والضرر الواضح والكبير للمستخدمين.

رفع مكافآت استغلال تجاوز MiraclePtr إلى 250,128 دولارًا

من الجدير بالذكر أن نوعًا معينًا من المكافآت، وهو مكافأة تجاوز MiraclePtr،  تضاعف من 100,115 دولارًا إلى 250,128 دولارًا.

وكما هو موضح ببعض التفاصيل الفنية في منشور أمان Google لعام 2022، فإن MiraclePtr هي تقنية لمنع استغلال أخطاء الاستخدام بعد التحرير. وعلى هذا النحو، فإن أي تجاوز يعد أمرًا خطيرًا للغاية وينعكس هذا في المكافأة الجديدة.

اعتبارًا من Chrome 128، قالت ريسلر، "لم تعد الأخطاء المحمية بواسطة MiraclePtr في العمليات غير المخصصة للعرض تعتبر أخطاءً أمنية. وبالتالي، يُعتبر MiraclePtr حدودًا أمنية معلنة".

تاريخ الإضافة: 2024-08-29 تعليق: 0 عدد المشاهدات :740
0      0
التعليقات

إستطلاع

مواقع التواصل الاجتماعي مواقع تجسس تبيع بيانات المستخدمين
 نعم
69%
 لا
20%
 لا أعرف
12%
      المزيد
خدمات