Nous commençons le tour d’horizon des primes de bugs de ce mois-ci avec des nouvelles que le Commission européenne (EC) a lancé un autre programme axé sur l’open source, cette fois dédié aux projets qui sous-tendent ses services publics.

Suite au « succès remarquable » du programme EU-FOSSA, la CE offre aux chasseurs de bogues jusqu’à 5 000 € (5 600 $) pour déterrer des vulnérabilités dans LibreOffice, LEOS, Mastodon, Odoo et CryptPad.

L’Open Source Program Office (EC OSPO), qui est hébergé par la plateforme européenne de primes aux bogues Intigriti, offre des bonus de 20 % lorsque les soumissions de vulnérabilités incluent des correctifs de code efficaces.

Dans les nouvelles sur les paiements, le chercheur Ryan Pickren a fait une énorme aubaine après avoir démontré comment les vulnérabilités d’iCloud et de Safari 15 ont donné aux attaquants un moyen de compromettre webcams macOS et, par la suite, les comptes en ligne des victimes.

Pickren a rapporté 100 500 $ pour un bogue de script intersite universel (uXSS) et un total de quatre failles.

L’exploit uXSS pourrait donner à un « attaquant un accès complet à tous les sites Web jamais visités par la victime », a déclaré le chercheur.

Ailleurs, la découverte de 70 empoisonnement du cache Web les vulnérabilités affectant Apache Traffic Server, GitHub et HackerOne, entre autres, ont rapporté 40 000 $ à Iustin Ladunca.

Bien que les attaques se soient limitées aux fichiers statiques, Ladunca a déclaré que l’impact était toujours important car les sites Web modernes reposent fortement sur JavaScript et CSS, et donc « la suppression de ces fichiers affecterait vraiment la disponibilité des applications ».

Omer Gil de Cider Security, quant à lui, a averti que les plates-formes CI/CD sont une cible d’attaque de plus en plus populaire après avoir détaillé une faille dans Actions GitHub qui ont permis de contourner les garanties de revue de code.

Gil, qui a félicité GitHub pour avoir rapidement corrigé et payé une prime pour la faille du service d’intégration continue (CI) extrêmement populaire, a déclaré que les faiblesses du contournement des autorisations ouvrent la porte à l’implantation de logiciels malveillants dans les affluents qui alimentent les logiciels de production.

Finalement, le Prime aux bogues Internet (IBB)un partenariat entre géants de la technologie qui vise à remédier aux vulnérabilités des projets logiciels open source critiques, a payé 2 500 $ pour une vulnérabilité d’exécution de code à distance (RCE) dans Apache HTTP Server.

Le chercheur ‘chamal’ a gagné 2 000 $ pour sa découverte, conformément à la politique du programme consistant à verser des primes selon une répartition 80/20 entre le chasseur de bogues et le projet concerné.


Les derniers programmes de primes de bugs pour février 2022

Le mois dernier a vu l’arrivée de plusieurs nouveaux programmes de primes de bugs. Voici une liste des dernières entrées :

Google Chrome VRP – amélioré

Fournisseur de programme :
Indépendant

Type de programme :
Public

Récompense maximale :
150 000 $

Contour:
Google a introduit un nouveau niveau de récompense pour le programme de récompense de la vulnérabilité Chrome (VRP). « La corruption de mémoire/les bogues RCE dans les processus hautement privilégiés, tels que le processeur graphique ou le processus réseau, peuvent désormais vous rapporter jusqu’à 7 000 $ pour un rapport de base, 10 000 $ pour un rapport de haute qualité et 15 000 $ pour des rapports de haute qualité avec un exploit fonctionnel, ” a récemment tweeté le géant de la technologie.

Remarques:
Google s’intéresse aux bogues qui parviennent aux canaux stables, bêta et de développement, y compris ceux des composants tiers.

Découvrez le VRP Chrome page de prime de bogue pour plus de détails

Commission européenne – Bureau du programme Open Source

Fournisseur de programme :
Intigriti

Type de programme :
Public

Récompense maximale :
5 600 $

Contour:
L’Open Source Program Office (EC OSPO) est dédié aux projets open source qui sous-tendent ses services publics, en particulier LibreOffice, LEOS, Mastodon, Odoo et CryptPad.

Remarques:
EC OSPO paiera des bonus de 20 % lorsque les soumissions de vulnérabilités incluent des correctifs de code efficaces.

Lisez notre couverture précédente du lancement EC OSPO pour plus de détails

DAO Olympe

Fournisseur de programme :
Indépendant

Type de programme :
Public

Récompense maximale :
3,3 millions de dollars

Contour:
Olympus DAO, un protocole de monnaie de réserve décentralisée basé sur le jeton OHM, indique que les paiements pourraient potentiellement atteindre 3,3 millions de dollars pour des problèmes dans ses contrats intelligents ou son application qui pourraient entraîner une perte de trésorerie, d’utilisateurs ou de fonds obligataires.

Remarques:
« Olympus a pour objectif de devenir l’actif de réserve pour l’ensemble de DeFi », a déclaré le responsable de la prime de bogue d’Olympus DAO ‘@Proof_Steve’. « Pour y parvenir, nous devons assurer sa sécurité, et c’est exactement pourquoi la communauté a autorisé ce programme de bug bounty ».

Découvrez le DAO Olympus associé communiqué de presse pour plus de détails

Payeur

Fournisseur de programme :
HackerOne

Type de programme :
Public

Récompense maximale :
5 000 $

Contour:
Payoneer est une société de services financiers américaine qui propose des transferts d’argent en ligne, des services de paiement numérique et des fonds de roulement.

Remarques:
Payoneer.com est le seul actif dans la portée, avec des failles critiques attirant des primes jusqu’à 5 000 $, tandis que les problèmes de gravité élevée rapporteront jusqu’à 2 000 $ aux chasseurs de bogues.

Découvrez le Payoneer page de prime de bogue à HackerOne pour plus de détails

Skroutz

Fournisseur de programme :
Foule d’insectes

Type de programme :
Public

Récompense maximale :
4 500 $

Contour:
Skroutz, une plate-forme de commerce électronique grecque, a invité des chasseurs de bogues à sonder son application Web et l’API associée sur l’environnement de production en direct.

Remarques:
L’application est construite avec Ruby on Rails et utilise de nombreux composants open source, comme détaillé sur GitHub.

Découvrez le Skroutz page de prime de bogue à Bugcrowd pour plus de détails


Autres bug bounty et actualités VDP ce mois-ci