250 ألف دولار راتب قراصنة Google Chrome
القاهرة: الأمير كمال فرج.
أعلنت شركة Google أمس عن تغييرات في برنامج مكافأة الثغرات الأمنية في كروم والتي توفر هيكلًا أكثر وضوحًا ومكافآت جديدة تحفز الإبلاغ عالي الجودة والبحث المتعمق عن ثغرات كروم.
ذكر ديفي ويندر في تقرير نشرته مجلة Forbes أن " متصفح Google Chrome يبلغ من العمر 16 عامًا الآن، وبعد عامين فقط من صدوره، أعلنت الشركة برنامج مكافأة الثغرات الأمنية، والذي يدفع مكافآت نقدية للباحثين الأمنيين من أجل الاستمرار في تحسين أمان المتصفح مع مليارات المستخدمين".
التغييرات التي طرأت على برنامج مكافأة الثغرات الأمنية في Chrome من Google
قررت Google الانتقال من تقديم عرض جدولي بسيط نسبيًا للمكافآت للثغرات الأمنية المبلغ عنها والتي لم يتم التخفيف منها، وفصل عيوب تلف الذاكرة عن بقية الأخطاء. قالت إيمي ريسلر، مهندسة الأمن في فريق أمان Chrome أن "هذا بتحفيز سيسمح لنا بالمزيد من الأبحاث الأكثر تأثيرًا في كل مجال"، "كما سيكافئنا على التقارير ذات الجودة الأعلى والأكثر تأثيرًا".
مكافآت ثغرة تلف الذاكرة في Google Chrome
لنبدأ بمنطقة ثغرات تلف الذاكرة، والتي شهدت إعادة تصميم كاملة إلى أربع فئات مميزة:
تقرير عالي الجودة مع عرض واضح لتنفيذ التعليمات البرمجية عن بُعد من خلال استغلال وظيفي.
تقرير عالي الجودة يوضح الكتابة التي يتحكم فيها المهاجم لمواقع عشوائية في الذاكرة.
تقرير عالي الجودة يوضح تلف الذاكرة في Chrome.
تقرير أساسي يتكون من تتبع المكدس وهو بنية بيانات خطية تحتوي على تسلسل خطي ومرتب من العناصر، وإثبات المفهوم لإثبات تلف الذاكرة القابل للتشغيل في Chrome.
من أجل تحفيز هذا البحث الأعمق ليس فقط في الثغرة الأمنية ولكن أيضًا في عواقب استغلالها، أكدت ريسلر أن "المكافآت زادت في جميع الفئات باستثناء الفئة الأساسية، وهذا يعني أن أقصى ما يمكن أن يتوقعه المخترق من مكافأة لمشكلة واحدة هو الآن 250 ألف دولار، على الرغم من أنه يمكن زيادتها، إذا كان من الممكن تحقيق RCE "تنفيذ النصوص البرمجية العشوائي" في عملية غير محمية دون اختراق برنامج العرض".
أخطاء أخرى في Chrome مصنفة حسب التأثير
بالطبع، في حين أن نقاط ضعف تلف الذاكرة قد تكون الأكثر قيمة، إلا أنها بعيدة كل البعد عن الأخطاء الوحيدة في Google Chrome التي يمكن العثور عليها. وبالتالي، فإن التغييرات التي طرأت على بنية برنامج مكافآت الثغرات الأمنية VRP مصممة أيضًا لتشجيع "قرارات المكافأة الأكثر حتمية بناءً على جودة التقرير والتأثير والضرر المحتمل للأشخاص الذين يستخدمون Chrome"، ويؤكد منشور ريسلر أن هذه سيتم تقسيمها إلى ثلاث فئات اعتمادًا على مستوى تأثيرها:
التأثير المنخفض: هو تلك الثغرات التي يكون فيها احتمال الاستغلال أقل، إلى جانب كون الشروط المسبقة اللازمة للاستغلال مهمة. بعبارة أخرى، تلك التي تتمتع بقدر أقل من سيطرة المهاجم وإمكانية أقل لإلحاق ضرر جسيم بالمستخدم.
التأثير المعتدل: كما قد تتوقع، يقع في المنتصف لتلك الثغرات التي تتطلب درجة معتدلة من شروط الاستغلال، وتمنح المهاجم درجة متوسطة من التحكم.
التأثير العالي: أعلى فئة تأثير هي للثغرات ذات أسهل مسارات الاستغلال إلى جانب إمكانية الاستغلال عن بعد والضرر الواضح والكبير للمستخدمين.
رفع مكافآت استغلال تجاوز MiraclePtr إلى 250,128 دولارًا
من الجدير بالذكر أن نوعًا معينًا من المكافآت، وهو مكافأة تجاوز MiraclePtr، تضاعف من 100,115 دولارًا إلى 250,128 دولارًا.
وكما هو موضح ببعض التفاصيل الفنية في منشور أمان Google لعام 2022، فإن MiraclePtr هي تقنية لمنع استغلال أخطاء الاستخدام بعد التحرير. وعلى هذا النحو، فإن أي تجاوز يعد أمرًا خطيرًا للغاية وينعكس هذا في المكافأة الجديدة.
اعتبارًا من Chrome 128، قالت ريسلر، "لم تعد الأخطاء المحمية بواسطة MiraclePtr في العمليات غير المخصصة للعرض تعتبر أخطاءً أمنية. وبالتالي، يُعتبر MiraclePtr حدودًا أمنية معلنة".
0
0
Hrad 
First 
燈籠 
لابور 
Bonjour 
Цезарь 
단위 
Mauer 
ताजमहल 
Paras 
Toros 
De koningin 
Kolinda 
Firenze 
Keragaman 
Όμηρος 
luksus 
Hősök 
Rättvisa 
明るい太陽 
Wałęsa 
חזרה 
laranja 
Mevlevi 
Dunărea 
آزادی 
กรุงเทพฯ 
Karpaty 
