ក្រុមហ៊ុន Google ផ្តល់ប្រាក់រង្វាន់លើសទ្វេដងចំពោះរបាយការណ៍ស្តីពីបញ្ហាសុវត្ថិភាព Google Chrome តាមរយៈកម្មវិធីផ្តល់រង្វាន់លើភាពងាយរងគ្រោះ (Vulnerability Reward Program) ដល់ទៅចំនួន ២៥០,០០០ដុល្លារនៅពេលនេះ។
ចាប់ពីថ្ងៃនេះ ក្រុមហ៊ុនស្រាវជ្រាវយក្សនឹងបែងចែកភាពងាយរងគ្រោះ Memory Corruption ដោយផ្តោតលើគុណភាពនៃរបាយការណ៍ និងយោបល់អ្នកស្រាវជ្រាវដើម្បីស្វែងរកនូវផលប៉ះពាល់ពេញលេញនៃបញ្ហាដែលបានរាយការណ៍។ រង្វាន់នឹងកើនឡើងផ្តើមចេញពីការរាយការណ៍មូលដ្ឋាន ដែលបង្ហាញពី Chrome Memory Corruption ជាមួយ Stack Traces និង Proof-of-concept (ជាមួយនឹងប្រាក់រង្វាន់ ២៥,០០០ដុល្លារ) ទៅដល់របាយការណ៍ស៊ីជម្រៅដែលបង្ហាញពីប្រតិបត្តិការកូដពីចម្ងាយតាមរយៈការកេងចំណេញលើមុខងារ។
វាជាពេលវិវត្តនៃ Chrome VRP Rewards និងចំនួនដ៏ច្រើនដើម្បីផ្តល់នូវការជំរុញរចនាសម្ព័ន្ធ រួមទាំងក្តីសង្ឈឹមកាន់តែច្បាស់លើរបាយការណ៍អ្នកស្រាវជ្រាវដែលរាយការណ៍ពីបញ្ហាទៅកាន់ក្រុមហ៊ុន ព្រមទាំងដើម្បីជំរុញការរាយការណ៍ដែលមានគុណភាពខ្ពស់ ទាំងអ្នកស្រាវជ្រាវក៏កាន់តែស៊ីជម្រៅលើភាពងាយរងគ្រោះ Chrome ក្នុងគោលដៅស្វែងរកផលប៉ះពាល់ដ៏ពេញលេញ និងការកេងចំណេញដែលមានឥទ្ធិពល បើយោងតាមវិស្វករសន្តិសុខ Chrome។ ចំនួនប្រាក់រង្វាន់ធំសម្រាប់បញ្ហាមួយ ឥឡូវនេះកើនដល់ទៅ ២៥០ពាន់ដុល្លារ ដែលបង្ហាញពី RCE នៅក្នុងដំណើរការដែលមិនមានប្រព័ន្ធការពារ (Non-sandboxed)។ ប្រសិនបើ REC នៅក្នុងដំណើរការ Non-Sandboxed អាចត្រូវបានចូលទៅដល់ដោយគ្មាន ការបង្ហាញពីអ្នកចូលរួមវាយប្រហារ គឺមានសិទ្ធិទទួលបានប្រាក់ច្រើនជាងនេះ ដោយរួមបញ្ចូលទាំងប្រាក់រង្វាន់ Renderer RCE Reward។ ក្រុមហ៊ុនក៏មានផ្តល់ប្រាក់រង្វាន់ច្រើនជាងទ្វេដង ចំពោះករណីឆ្លងកាត់ MiraclePtr ដល់ទៅ ២៥០,១២៨ដុល្លារ ដោយចាប់ពីរង្វាន់ចំនួន ១០០,១១៥ដុល្លារ។ ក្រុមហ៊ុន Google ក៏បានរៀបចំចំណាត់ថ្នាក់ និងផ្តល់រង្វាន់ចំពោះរបាយការណ៍នៃភាពងាយរងគ្រោះ ដែលផ្តោតលើគុណភាព ផលប៉ះពាល់ និងឥទ្ធិពលនៃគ្រោះថ្នាក់របស់ពួកគេដល់អ្នកប្រើប្រាស់ Chrome ដូចជា៖
– ផលប៉ះពាល់ទាប៖ ឥទ្ធិពលតិចតួចសម្រាប់ការកេងចំណេញ លក្ខខណ្ឌសំខាន់ៗក្នុងការកេងចំណេញ ការគ្រប់គ្រងរបស់អ្នកវាយប្រហារទាប ហានិភ័យនៃគ្រោះថ្នាក់ទាបដល់អ្នកប្រើប្រាស់
– ផលប៉ះពាល់មធ្យម៖ លក្ខខណ្ឌ (Preconditions) មធ្យមក្នុងការកេងចំណេញ ការគ្រប់គ្រងនៃអ្នកវាយប្រហារនូវកម្រិតមធ្យម
– ផលប៉ះពាល់ខ្ពស់៖ ឆ្ពោះទៅរកការកេងចំណេញ បង្ហាញឱ្យឃើញ និងគ្រោះថ្នាក់ដល់អ្នកប្រើប្រាស់យ៉ាងសំខាន់ កេងចំណេញពីចម្ងាយ លក្ខខណ្ឌ (Preconditions) ទាបក្នុងការកេងចំណេញ។
របាយការណ៍ទាំងអស់នៅតែមានសិទ្ធិទទួលបានរង្វាន់ នៅពេលពួកគេដាក់បញ្ចូលលក្ខខណ្ឌដែលអាចអនុវត្តបាន។ ក្រុមហ៊ុននឹងបន្តផ្តល់នូវឱកាស និងរង្វាន់បន្ថែមទៀតចំពោះលក្ខណៈស្រដៀងគ្នានេះ Full Chain Exploit Reward និងអភិវឌ្ឍកម្មវិធីរបស់ក្រុមហ៊ុននៅក្នុងទម្រង់ធ្វើឱ្យសេវាកាន់តែប្រសើឡើងបម្រើដល់សហគមន៍ពោរពេញដោយសុវត្ថិភាព។ របាយការណ៍ដែលមិនបង្ហាញពីផលប៉ះពាល់ផ្នែកសុវត្ថិភាព ឬឥទ្ធិពលគ្រោះថ្នាក់ដល់អ្នកប្រើ ឬជារបាយការណ៍ស្តីពីបញ្ហាទ្រឹស្តីសុទ្ធសាធ ឬការប៉ាន់ស្មាន ទំនងជាមិនមានសិទ្ធិទទួលបានរង្វាន់ VRP នោះទេ។ កាលពីដើមខែសីហា ក្រុមហ៊ុន Google ក៏បានប្រកាសថា កម្មវិធីផ្តល់រង្វាន់សន្តិសុខ Play (GPSRP) របស់ខ្លួននឹងបិទឈប់ទទួលរបាយការណ៍ថ្មីនៅចុងខែនេះ ត្រឹមថ្ងៃទី៣១ ខែសីហា ដោយសារតែចំនួននៃរបាយការណ៍នៃភាពងាយរងគ្រោះដែលសកម្មមានចំនួនថយចុះ។ នៅក្នុងខែកក្កដា ក្រុមហ៊ុនក៏បានដាក់ចេញនូ kvmCTF ដែលជា VRP ដំបូងបានបើកបង្ហាញកាលពីខែតុលា ឆ្នាំ២០២៣ ដើម្បីជំរុញផ្នែកសន្តិសុខនៃ Kernel-based Virtual Machine (KVM) hypervisor និងផ្តល់នូវប្រាក់រង្វាន់ចំនួន ២៥០ពាន់ដុល្លារចំពោះករណី VM Escape Exploits ពេញលេញ។ តាំងពីក្រុមហ៊ុនបានដាក់ចេញនូវកម្មវិធីផ្តល់រង្វាន់លើភាពងាយរងគ្រោះ (VRP) កាលពីឆ្នាំ២០១០ មកក្រុមហ៊ុនបានចំណាយប្រាក់ជាង ៥០លានដុល្លារដល់អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខដែលបានរាយការណ៍នូវភាពងាយរងគ្រោះជាង ១៥ពាន់៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៨ ខែសីហា ឆ្នាំ២០២៤
