Google、Chromeのセキュリティ賞金対象を拡大

Googleは2月9日(米国時間)、Chromiumのセキュリティバグ報告における賞金制度において、賞金対象を拡大することをChromiumブログで発表した。約2年前から行われてきたChromiumの賞金制度では、これまで延べ30万ドル以上が支払われており、修正されたバグは数百にものぼるという。

現在の賞金制度ではChromiumブラウザだけでなく、Chromium OSの重要度の高いセキュリティバグに対しても対象範囲としている。発表によると、Chromium OSにはChromiumブラウザよりも多くのバグが含まれている可能性が高いとしている。

そこでさらにChromium OSに対して以下のようなセキュリティバグが見つかった場合、賞金を払う用意があるとしている。なお、例にあげているセキュリティバグはあくまで報奨金がでる可能性が高い問題であり、限定しているわけでない。

• Linuxカーネルのバグを経由して、レンダラサンドボックスを逃れる問題
• Pepper flash(Chrome用にカスタマイズされたFlash Player)のクロスオリジンまたメモリ破損問題
• 標準でインストールされているアプリケーションや拡張機能、プラグインの深刻なクロスオリジンまたメモリ破損問題
• 検証ブートパスの侵害
• Webまたはネットワークで到達可能なシステムライブラリやデーモン、ドライバの脆弱性

Chromium OSのセキュリティバグ報告に対する賞金の範囲が拡大されたことで、これまでの賞金制度が成功を収めていることがわかる。また、今回の賞金の範囲拡大が具体的に示されたことで、Chromium OSの深刻な脆弱性の洗い出しに成功する自信があることがうかがえる。

Chrome OSのセキュリティバグの報告はChromium OS bug trackerにて受け付けている。また、Chromiumブラウザのセキュリティバグの報告も引き続きChromium bug trackerにて受け付けている。