聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
上周五,Facebook 发布 Hermes 和 Spark AR 漏洞奖励计划,赏金丰厚。
Hermes 是Facebook 于一年前开源的一款 JavaScript 引擎,用于Facebook 的安卓版 React Native 应用和其它软件中,包括 Spark AR 在内。Spark AR 是一款增强现实平台,用于在 Facebook、Instagram 甚至是 Facebook 的 Portal 智能显示板上创造各种效果。
虽然 Facebook 的漏洞奖励计划已经涵盖原生代码中的漏洞,但该公司表示希望鼓励研究人员分析 Hermes 和 Spark AR,这也是为何斥重金的原因。
例如,白帽黑客如能在运行 Spark AR 效果时发现漏洞或利用链且可导致远程代码执行的后果,则可获得最高2.5万美元的奖金。该 exploit 可以直接针对 Spark AR 平台或者 Hermes JavaScript VM。
Facebook 解释称,“具体的奖金数额根据具体的 bug 和 exploit 确定。例如,缺失 ASLR 绕过的利用链可能获得稍低的奖金。同样,界外写入中如未提供导致 RCE 的明确路径,则奖金也会稍低。”
白帽黑客找到的漏洞如能导致攻击者读取用户数据,则可获得的平均奖金是1.5万美元。因界外读/写引发的拒绝服务漏洞可获得500到3000美元不等的奖金。
如果研究人员能够提供完整的 PoC exploit,则可获得额外奖金1.5万美元,也就是一个远程代码执行漏洞价值4万美元。
去年,Facebook 公司通过漏洞奖励计划共支付220万美元的奖金,而自2011年颁发漏洞奖励计划以来已颁发近1000万美元的奖金。
推荐阅读
Facebook Messenger 被曝漏洞,可导致恶意软件获得持续访问权限(详细分析)
算捡漏么?我发现了一个值2万美金的 Facebook DOM XSS 漏洞
我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞
原文链接
https://www.securityweek.com/facebook-offering-big-rewards-vulnerabilities-hermes-spark-ar
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~