Целями программы являются следующие продукты:
- Яндекс.Браузер Desktop.
- Яндекс.Браузер для Android (com.yandex.browser).
- Яндекс.Браузер для iOS.
Нас интересуют уязвимости, которые можно воспроизвести на Windows 7+, macOS v10.10+, Linux, Android 4.4+, iOS 7+.
Актуальной считается релизная версия продукта на момент сообщения об уязвимости.
Векторы атак и продуктов, за сообщения о проблемах в которых вознаграждение не предусматривается:
- уязвимости в продукте Yandex Browser Lite (com.yandex.browser.lite);
- уязвимости в аналогичной версии Chromium;
- уязвимости в Yandex Browser for Android (alpha) (com.yandex.browser.alpha) и Yandex Browser for Android (beta) (com.yandex.browser.beta), если они воспроизводимы в Yandex Browser for Android (com.yandex.browser);
- DLL-hijacking, эксплуатация которого требует модификации системы с помощью локального доступа.
- любые отличия в поведении Яндекс.Браузера и остальных chromium-based браузеров без демонстрации возможности реализации угроз безопасности (выполнения произвольного кода, получения несанкционированного доступа к данным пользователя, обходов основных механизмов безопасности браузера);
- уязвимости в браузерных расширениях, которые не включены в стандартную поставку браузера;
- уязвимости, причина (root-cause) которых находится в коде Сhromium;
- IDN homograph attack;
- уязвимости, успешная эксплуатация которых требует модификаций дефолтных настроек и/или политик браузера.
- уязвимости, успешная эксплуатация которых требует активных действий со стороны пользователя (например, user-gesture жестов);
- уязвимости сторонних компонентов (библиотек, плагинов), используемых браузером;
- уязвимости на мобильных устройствах, которые для эксплуатации требуют наличие root-привилегий, jailbreak и любой другой модификации приложений или устройств.
- Узнайте версию Chromium с помощью ссылки browser://version.
- Проверьте свою уязвимость на той же версии Chromium.
- Если проблема не воспроизводится — присылайте её нам.
Удачливые охотники могут запросить Common Vulnerabilities and Exposures (CVE) и попасть в Зал славы Яндекс.Браузера.
Все сообщения об уязвимостях должны быть связаны именно с Яндекс.Браузером, т.е. должны воспроизводиться именно в нем, но не в браузерах, построенных на платформе Chromium. О том, как проверить себя, мы рассказали в разделе «Как проверить уязвимость».
Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации, воздействию на данные пользователей и типе сообщения об ошибке (подробное сообщение об ошибке с PoC или базовое).
Решение об уровне критичности часто принимается совместно с разработчиками, и это может занимать какое-то время.
Вознаграждения
Вектор атаки | Класс уязвимостей | Вознаграждения за подробное сообщение об ошибке | Вознаграждения за базовое сообщение об ошибке | Примеры уязвимостей |
|---|---|---|---|---|
Выход за пределы Chromium-Sandbox | Любые способы обхода механизма sandbox | 370 000 руб. | 220 000 руб. | Выполнение произвольных команд в ОС от имени привилегированного процесса браузера |
Удаленное выполнение произвольного кода в браузере | Уязвимости, связанные с проблемами в логике работы и повреждениями памяти | 220 000 руб. | 110 000 руб. | Выполнение кода в контексте renderer-процесса внутри sandbox |
Обход Same Origin Policy | Universal XSS, уязвимости browser-API | 110 000 руб. | 55 000 руб. | UXSS, получение данных произвольных origin'ов |
Уязвимости сервисов и механизмов Я.Браузера | Уязвимости механизмов синхронизации аккаунтов, хранения паролей, уязвимости автозаполнения критичных данных | 110 000 руб. | 55 000 руб. | Получение доступа к данным из менеджера паролей |
Уязвимости реализации NTP (new tab page) | Получения доступа к интерфейсам и/или контексту NTP с последующим доступом к данным пользователя | 75 000 руб. | 35 000 руб. | Получения доступа к API браузера, доступным для NTP, из контекста произвольного сайта |
Обход HTTPS, уязвимости в SSL/TLS реализации, обход механизмов защиты Yandex Protect | Обход механизма «Безопасный WI-FI», обход механизмов Safebrowsing | 75 000 руб. | 35 000 руб. | Обход блокировок или нотификаций сайтов с недоверенными сертификатами |
Подмена элементов пользовательского интерфейса | Address Bar Spoofing, уязвимости подмены отображения нотификаций | 35 000 руб. | 18 000 руб. | Address Bar Spoofing |
Обход Content Security Policy | Любые способы обхода кроме вариантов через расширения или подмену HTTP/HTTPS заголовков | 35 000 руб. | 18 000 руб. | Обход правил из директив CSP для произвольного сайта |
Уязвимости во встроенных расширениях | XSS, XXE, CSRF, раскрытие чувствительной информации | 35 000 руб. | 18 000 руб. | XSS во встроенных расширениях |
- PoC и скринкаст, демонстрирующий эксплуатацию уязвимости и реализацию угрозы безопасности: выполнение произвольного кода, доступ к данным пользователя, обход механизмов браузера и т.д.
- Для уязвимостей, связанных с обходом защитных механизмов, нужно продемонстрировать не только возможность обхода, но и получение доступа к защищаемым данным или функциональности. Например, в репорте о UXSS либо SOP Bypass должен быть сценарий получения доступа к данным стороннего origin.
- Информацию о версии браузера и окружении (browser://version).
Что должно содержать подробное сообщение об ошибках