近日，谷歌公司宣布通過其漏洞獎(jiǎng)勵(lì)計(jì)劃報(bào)告的Google Chrome單一漏洞的最高獎(jiǎng)勵(lì)金額已超過25萬美元。

從8月28日起，谷歌將根據(jù)研究人員報(bào)告的漏洞質(zhì)量來對(duì)內(nèi)存損壞漏洞加以區(qū)分。獎(jiǎng)勵(lì)金額將從展示Chrome內(nèi)存損壞和堆棧跟蹤的基線報(bào)告顯著提升至通過功能性漏洞展示遠(yuǎn)程代碼執(zhí)行的高質(zhì)量報(bào)告。

Chrome 安全工程師 Amy Ressler 表示：現(xiàn)在是時(shí)候改進(jìn) Chrome VRP 獎(jiǎng)勵(lì)和金額了，以便為向我們報(bào)告漏洞的安全研究人員提供改進(jìn)的結(jié)構(gòu)和更明確的期望，并激勵(lì)對(duì) Chrome 漏洞進(jìn)行高質(zhì)量報(bào)告和更深入的研究，探索它們的全部影響和可利用潛力。

對(duì)于在非沙盒過程中展示遠(yuǎn)程代碼執(zhí)行（RCE）的單一問題，最高獎(jiǎng)勵(lì)金額可達(dá)25萬美元。如果這種RCE能夠在不損害渲染器的情況下實(shí)現(xiàn)，獎(jiǎng)勵(lì)金額甚至可能更高。

此外，谷歌還將MiraclePtr繞過獎(jiǎng)勵(lì)的金額增加了一倍多，從10萬美元提升至25萬美元。

Google 還會(huì)根據(jù)漏洞的質(zhì)量、影響和對(duì) Chrome 用戶的潛在危害，將其他類別的漏洞報(bào)告歸類為以下類別并給予獎(jiǎng)勵(lì)：

• 影響較小：可利用的可能性低、利用的先決條件重要、攻擊者控制力低、用戶危害風(fēng)險(xiǎn)/可能性低
• 中等影響：利用的先決條件中等，攻擊者控制程度一般
• 高影響：可利用性的直接路徑、可證明和重大的用戶危害、遠(yuǎn)程可利用性、利用前提條件低

Ressler 表示：當(dāng)所有報(bào)告包含適用的特征時(shí)，它們?nèi)匀挥匈Y格獲得獎(jiǎng)金獎(jiǎng)勵(lì)。我們將繼續(xù)探索更多的實(shí)驗(yàn)性獎(jiǎng)勵(lì)機(jī)會(huì)，類似于之前的全鏈漏洞利用獎(jiǎng)勵(lì)，并以更好地服務(wù)于安全社區(qū)的方式發(fā)展我們的計(jì)劃。沒有證明安全影響或潛在用戶傷害的報(bào)告，或者純粹是理論或推測問題的報(bào)告，不太可能有資格獲得 VRP 獎(jiǎng)勵(lì)。

本月早些時(shí)候，谷歌還宣布，由于可操作漏洞報(bào)告數(shù)量的減少，其Play安全獎(jiǎng)勵(lì)計(jì)劃將在8月31日關(guān)閉新報(bào)告的提交。

7月，谷歌啟動(dòng)了kvmCTF，這是一個(gè)新的漏洞獎(jiǎng)勵(lì)計(jì)劃，旨在提高基于內(nèi)核的虛擬機(jī)（KVM）管理程序的安全性，為完整的VM逃逸漏洞提供高達(dá)25萬美元的獎(jiǎng)勵(lì)。

自2010年推出漏洞獎(jiǎng)勵(lì)計(jì)劃以來，谷歌已向報(bào)告超過1.5萬名漏洞安全研究人員支付了超過5000萬美元的獎(jiǎng)勵(lì)。