8 月 12 日消息,谷歌今天在披露的漏洞报告中表示,他们根据漏洞奖励计划(VRP),为一名安全研究员发放了 25 万美元( 注:现汇率约合 179.8 万元人民币)的奖金。
据谷歌介绍,这名安全研究员在 4 月 23 日时发现了 Chrome 浏览器的高危安全漏洞 ——“沙盒逃逸”,这个漏洞位于渲染器进程中,IPCZ(Chrome 内核的一种通信系统)错误允许渲染器重复的浏览器进程句柄从沙盒中逃逸,从而突破浏览器的各种防线。
研究员在上报给谷歌时将这个漏洞标记为“中等危害”,但谷歌工程师认为这项漏洞危害程度非常高,谷歌将其定义为S0 / S1 级严重性,同时将修复工作设置为 P1 优先级。
谷歌后续在 5 月发布的 Chrome 新版本中对漏洞进行修复,并且按照行业惯例在漏洞修复后 90 天披露细节,让所有研究人员都能学习、分析漏洞细节。
同时谷歌在经过评估后认为,这项漏洞危害程度极高且非常复杂,最终根据 Chrome 漏洞奖励计划(VRP),向这名研究员发放 25 万美元(现汇率约合 179.8 万元人民币)奖励。
根据谷歌“漏洞猎人”制定的规则,研究人员提交高质量且包含 RCE 演示的非沙盒进程逃逸 / 内存损坏漏洞可获得 2.5 万美元-25 万美元的奖金,而这名研究员所获得的顶格奖励“非常罕见”。
