转载请注明出处: CHATWEB
本文的链接地址: https://chatweb.com.cn/post-126.html
谷歌最近宣布对其 Chrome 漏洞赏金计划(VRP)的奖金进行了大幅提高,旨在鼓励更多安全研究者参与 Chrome 浏览器的安全测试。新的奖励机制下,发现重大漏洞的研究者最高可获得25万美元的奖金,这是一个显著的激励措施。
为了获得这笔高额奖金,研究者需要完成两项关键任务。首先,需要发现一个内存损坏的漏洞,且该漏洞必须出现在未沙盒化的进程中。简而言之,内存损坏是指软件的内存被不当修改,导致软件运行异常。未沙盒化的进程意味着该漏洞能够影响整个 Chrome 应用。其次,还需提交一份“高质量报告”,证明发现的漏洞能够导致远程代码执行(RCE)。只有满足这两个条件,才能有机会获得25万美元的奖金。相比之下,此前的最高奖金仅为4万美元。
如果发现的漏洞较轻,奖金也会相应减少。例如,如果能够在受控环境中证明远程执行的可能性,奖金可达9万美元;如果提交的报告证明存在主动内存损坏,最高可获得3.5万美元的奖励。对于在高度特权进程中发现的内存损坏漏洞,奖金最高为8.5万美元,而在沙盒进程中发现相同类型的漏洞,奖金则为5.5万美元。
谷歌还提高了其他类型安全漏洞的奖金。例如,对于网站隔离绕过的漏洞,最高可获得3万美元的奖励;而对于安全 UI 欺骗漏洞,则奖金为1万美元。此外,MiraclePtr 绕过漏洞的奖金也翻了一倍多,从原来的100,115美元提升至250,128美元。如果能够确定是哪个提交引入了漏洞,还可以额外获得1,000美元的奖励。
这次奖金的提升预计将吸引更多安全研究者加入到 Chrome 的安全防护工作中,共同致力于提升用户的上网安全性。
转载请注明出处: CHATWEB
本文的链接地址: https://chatweb.com.cn/post-126.html