谷歌宣告调整Chrome缝隙安全奖赏方案 单个缝隙现在最高奖赏25万美元

谷歌正在经过持续进步缝隙奖金的方法招引更多安全研讨人员参加 Chrome 浏览器的安全改善，谷歌日前宣告将 Chrome 缝隙安全奖赏计划的单个缝隙最高奖金进步到 25 万美元。

谷歌安全工程师在博客中表明：

经过调整 Chrome VRP 奖赏和金额，以便向参加 Chrome 缝隙研讨的安全研讨人员供给更好的结构和更清晰的希望，鼓励安全研讨人员愈加深化的研讨 Chrome 安全缝隙和提交更高质量的缝隙陈述。

其间单个缝隙的最高潜在奖赏金额现在进步到 25 万美元，该奖赏等级适用于在非沙盒进程中展现 RCE (长途代码履行)：假如能够在不损坏渲染器的情况下完成非沙盒进程的 RCE 则有资历取得更高的金额，包括渲染器 RCE 奖赏。

谷歌还说到针对 MiraclePtr 绕过的缝隙奖赏金额从 100115 美元翻倍到 250128 美元，MiraclePtr 是谷歌为 Chrome 推出的一种安全缓解计划，用于缓解 UaF 类缝隙的损害。

下面是谷歌分类的缝隙等级：

• 影响较小的缝隙：可用性十分低、可使用的条件显着、攻击者能够控制的才能较低、对用户形成的危险低
• 影响中等的缝隙：可使用的条件条件适中、攻击者能够控制的才能适中
• 影响较高的缝隙：可使用的直接途径、可证明的能够形成严重损害、可长途使用以及条件条件十分低

一切安全缝隙陈述只需包括适用等级的特征就有资历取得缝隙奖赏，一起谷歌还在探究更多实验性的奖赏时机，类似于之前假如发现全链条缝隙则能够取得超量的奖赏。

当然假如提交的陈述没有展现潜在的安全损害或许对用户形成的损害十分小，或许是朴实的理论或估测问题的陈述，这种情况下一般不太可能取得谷歌供给的奖赏。