近日，谷歌公司宣布通過其漏洞獎勵計劃報告的Google Chrome單一漏洞的最高獎勵金額已超過25萬美元。

從8月28日起，谷歌將根據(jù)研究人員報告的漏洞質(zhì)量來對內(nèi)存損壞漏洞加以區(qū)分。獎勵金額將從展示Chrome內(nèi)存損壞和堆棧跟蹤的基線報告顯著提升至通過功能性漏洞展示遠程代碼執(zhí)行的高質(zhì)量報告。

Chrome 安全工程師 Amy Ressler 表示：現(xiàn)在是時候改進 Chrome VRP 獎勵和金額了，以便為向我們報告漏洞的安全研究人員提供改進的結(jié)構(gòu)和更明確的期望，并激勵對 Chrome 漏洞進行高質(zhì)量報告和更深入的研究，探索它們的全部影響和可利用潛力。

對于在非沙盒過程中展示遠程代碼執(zhí)行（RCE）的單一問題，最高獎勵金額可達25萬美元。如果這種RCE能夠在不損害渲染器的情況下實現(xiàn)，獎勵金額甚至可能更高。

此外，谷歌還將MiraclePtr繞過獎勵的金額增加了一倍多，從10萬美元提升至25萬美元。

Google 還會根據(jù)漏洞的質(zhì)量、影響和對 Chrome 用戶的潛在危害，將其他類別的漏洞報告歸類為以下類別并給予獎勵：

• 影響較?。嚎衫玫目赡苄缘?、利用的先決條件重要、攻擊者控制力低、用戶危害風(fēng)險/可能性低
• 中等影響：利用的先決條件中等，攻擊者控制程度一般
• 高影響：可利用性的直接路徑、可證明和重大的用戶危害、遠程可利用性、利用前提條件低

Ressler 表示：當(dāng)所有報告包含適用的特征時，它們?nèi)匀挥匈Y格獲得獎金獎勵。我們將繼續(xù)探索更多的實驗性獎勵機會，類似于之前的全鏈漏洞利用獎勵，并以更好地服務(wù)于安全社區(qū)的方式發(fā)展我們的計劃。沒有證明安全影響或潛在用戶傷害的報告，或者純粹是理論或推測問題的報告，不太可能有資格獲得 VRP 獎勵。

本月早些時候，谷歌還宣布，由于可操作漏洞報告數(shù)量的減少，其Play安全獎勵計劃將在8月31日關(guān)閉新報告的提交。

7月，谷歌啟動了kvmCTF，這是一個新的漏洞獎勵計劃，旨在提高基于內(nèi)核的虛擬機（KVM）管理程序的安全性，為完整的VM逃逸漏洞提供高達25萬美元的獎勵。

自2010年推出漏洞獎勵計劃以來，谷歌已向報告超過1.5萬名漏洞安全研究人員支付了超過5000萬美元的獎勵。