Chrome 51では42件のバグがつぶされて総額720万円もの報奨金が支払われていたことが明らかに

By Tsahi Levent-Levi

定期的にアップデートが繰り返されるGoogleのウェブブラウザ「Google Chrome」の最新版となるバージョン51安定版が、2016年5月25日にリリースされています。Googleはこのバージョンのリリースにあたり42件のバグフィックスを行ったのですが、そのうち23件は外部の協力者からの報告を受けたもので、その際に支払われたリワード(報奨金)は全体で6万5000ドル(約720万円)にのぼり、さらにその約半分を同一の人物が受け取っていたことが分かっています。

Chrome Releases: Stable updates
http://googlechromereleases.blogspot.jp/search/label/Stable%20updates

Google pays $65k to shutter 23 Chrome bugs • The Register
http://www.theregister.co.uk/2016/05/30/google_pays_65k_to_shutter_23_chrome_bugs/

Googleはソフトウェアの開発にあたって外部の調査員からバグの指摘を募っており、発見したバグの内容に応じて報奨金を支払うプログラムを実施しています。バージョン51安定版に関して寄せられた外部からの指摘23件のうち、9件が危険性の高いセキュリティホールを抱えるものであり、続いて10件が中程度、4件が低程度の危険性のバグであったことが明らかにされています。

ブログでは、解消されたバグの詳細と報奨金の額、そして協力者の名前が記載されているのですが、実際に支払われた報奨金6万5000ドルのおよそ半分にあたる3万ドル(約330万円)がMariusz Mlynskiという人物に支払われたことも明らかになっています。同氏は危険性の高いセキュリティホールを4件報告しており、1件あたり7500ドル(約83万円)の支払いを受けています。

これに続くのがRob Wu氏とGuang Gong氏の2人で、それぞれ8500ドル(約94万円)と4000ドル(約44万円)をゲットしています。

ブログでは、以下のようにバグの内容と報告者の氏名、そして報奨金の額がリストアップされています。

[$7500][590118] High CVE-2016-1672: Cross-origin bypass in extension bindings. Credit to Mariusz Mlynski.
[$7500][597532] High CVE-2016-1673: Cross-origin bypass in Blink. Credit to Mariusz Mlynski.
[$7500][598165] High CVE-2016-1674: Cross-origin bypass in extensions. Credit to Mariusz Mlynski.
[$7500][600182] High CVE-2016-1675: Cross-origin bypass in Blink. Credit to Mariusz Mlynski.
[$7500][604901] High CVE-2016-1676: Cross-origin bypass in extension bindings. Credit to Rob Wu.
[$4000][602970] Medium CVE-2016-1677: Type confusion in V8. Credit to Guang Gong of Qihoo 360.
[$3500][595259] High CVE-2016-1678: Heap overflow in V8. Credit to Christian Holler.
[$3500][606390] High CVE-2016-1679: Heap use-after-free in V8 bindings. Credit to Rob Wu.
[$3000][589848] High CVE-2016-1680: Heap use-after-free in Skia. Credit to Atte Kettunen of OUSPG.
[$3000][613160] High CVE-2016-1681: Heap overflow in PDFium. Credit to Aleksandar Nikolic of Cisco Talos.
[$1000][579801] Medium CVE-2016-1682: CSP bypass for ServiceWorker. Credit to KingstonTime.
[$1000][583156] Medium CVE-2016-1683: Out-of-bounds access in libxslt. Credit to Nicolas Gregoire.
[$1000][583171] Medium CVE-2016-1684: Integer overflow in libxslt. Credit to Nicolas Gregoire.
[$1000][601362] Medium CVE-2016-1685: Out-of-bounds read in PDFium. Credit to Ke Liu of Tencent's Xuanwu LAB.
[$1000][603518] Medium CVE-2016-1686: Out-of-bounds read in PDFium. Credit to Ke Liu of Tencent's Xuanwu LAB.
[$1000][603748] Medium CVE-2016-1687: Information leak in extensions. Credit to Rob Wu.
[$1000][604897] Medium CVE-2016-1688: Out-of-bounds read in V8. Credit to Max Korenko.
[$1000][606185] Medium CVE-2016-1689: Heap buffer overflow in media. Credit to Atte Kettunen of OUSPG.
[$1000][608100] Medium CVE-2016-1690: Heap use-after-free in Autofill. Credit to Rob Wu.
[$500][597926] Low CVE-2016-1691: Heap buffer-overflow in Skia. Credit to Atte Kettunen of OUSPG.
[$500][598077] Low CVE-2016-1692: Limited cross-origin bypass in ServiceWorker. Credit to Til Jasper Ullrich.
[$500][598752] Low CVE-2016-1693: HTTP Download of Software Removal Tool. Credit to Khalil Zhani.
[$500][603682] Low CVE-2016-1694: HPKP pins removed on cache clearance. Credit to Ryan Lester and Bryant Zadegan.

前述のようにGoogleでは、バグの報告者に対して報奨金を支払うプログラム「Vulnerability Reward Program」を展開しています。対象となるバグの種類やサイトなどの情報は、以下のGoogleのサイトで説明されています。

Chrome Rewards – Application Security – Google
https://www.google.com/about/appsecurity/chrome-rewards/index.html#rewards

報奨金の額は、内容によって500ドル(約5万5000円)程度から最高で1万5000ドル(約165万円)までが設定されています。

さらに、GoogleやYouTubeなど、Googleのサービス全体を対象にした報奨金プログラムも実施されており、例えば「Googleアカウントの乗っ取りを可能にする」などの重大なバグの発見に対しては、最大で2万ドル(約220万円)の報奨金が支払われるようにもなっています。

Program Rules – Application Security – Google
https://www.google.com/about/appsecurity/reward-program/index.html

今回のGoogle Chromeで見つかったバグのほとんどは、AddressSanitizerやMemorySanitizer、Control Flow Integrity、LibFuzzerなどのツールによって発見されているとのこと。「われこそは」と思った人はいちどチャレンジしてみても良さそうです。