公開日: Mon, 10 Mar 2025 11:36:01 -0400
記事のジャンル: Security
Original URL: https://www.bleepingcomputer.com/news/security/google-paid-12-million-in-bug-bounties-last-year-to-security-researchers/
記事本文(要約)
Googleは2024年に、同社の脆弱性報奨プログラム(VRP)を通じてセキュリティバグを報告した660人の研究者に対し、約1200万ドルの報酬を支払いました。報奨制度の改訂により、報酬の最高額は151,515ドルに引き上げられ、モバイルVRPでは最も高額で450,000ドルが支払われます。
また、クラウドVRPとChromeの報奨金も大幅に増額されました。さらに、Kernel-based Virtual Machine(KVM)のセキュリティを向上させるために新しいVRP「kvmCTF」を開始し、フルVMエスケープの脆弱性には25万ドルの賞金が設定されています。
2024年には、ChromeのVRP研究者に対して340万ドルが支払われ、有効な報告が137件ありました。最も高額な報奨は、MiraclePtr Bypassの報告に対する100,115ドルでした。Googleは2010年以来、合計6500万ドル以上のバグ報奨金を支払っています。
※この要約はChatGPTを使用して生成されました。
詳細な技術情報
この文書は、Googleの脆弱性報奨プログラム(VRP)に関する最新の報告を示しており、同社がセキュリティ研究者に対し、発見されたセキュリティバグに対して多額の報酬を支払ったことを示しています。以下に、内容をセキュリティの観点から分析し、重要な情報を整理します。
- MiraclePtr Bypass
- 脆弱性の仕組み:ポインタ管理やメモリ保護機構の回避を可能にする脆弱性を指し、メモリ不正操作による危険性を高めます。
- 攻撃手法:ポインタ検証機構を突破することで、攻撃者が悪意あるコードを実行する可能性があります。
- VM escape
- 脆弱性の仕組み:仮想マシンからホストシステムへの脱出を試みる攻撃手法です。これは、仮想マシンの隔離境界を破ることを意味します。
- 攻撃手法:仮想環境を超えてホストマシンへの操作を可能にし、システム全体を危険にさらす恐れがあります。
