8 月 12 日消息,谷歌在今日披露的漏洞报告中宣布,依据漏洞奖励计划(VRP),已向一名安全研究员发放了高达 25 万美元的奖金,按当前汇率折算,约合人民币 179.8 万元。这一高额奖励再度彰显了谷歌对产品安全漏洞的重视程度,以及对安全研究人员的大力激励。
据谷歌介绍,今年 4 月 23 日,这位安全研究员成功发现了 Chrome 浏览器中存在的高危安全漏洞 ——“沙盒逃逸”。该漏洞位于渲染器进程内,由于 Chrome 内核通信系统 IPCZ 出现错误,导致渲染器进程句柄能够重复从沙盒中逃逸。这一严重漏洞一旦被恶意利用,攻击者便能突破浏览器设置的重重安全防线,对用户数据安全构成极大威胁。
研究员最初上报时,将此漏洞标记为 “中等危害”。然而,谷歌工程师在深入评估后,判定该漏洞的危害程度极高,遂将其定义为 S0/S1 级严重性,同时将修复工作设定为 P1 最高优先级,这意味着该漏洞的修复刻不容缓。
随后,谷歌迅速行动,于 5 月发布的 Chrome 新版本中成功修复了这一漏洞。遵循行业通行做法,谷歌在漏洞修复 90 天后详细披露了相关细节,以便全球研究人员能够深入学习、分析该漏洞,从而进一步提升网络安全防护水平。
谷歌经全面评估后认为,此次发现的漏洞不仅危害程度极高,而且技术层面极为复杂,对 Chrome 浏览器的安全架构构成了严峻挑战。基于此,最终依据 Chrome 漏洞奖励计划(VRP),向该研究员发放了 25 万美元的顶格奖励。在谷歌 “漏洞猎人” 规则框架下,研究人员若提交包含远程代码执行(RCE)演示的高质量非沙盒进程逃逸或内存损坏漏洞,奖金范围在 2.5 万美元至 25 万美元之间。但能够获得 25 万美元这一最高额度奖励的情况,在实际中 “极为罕见”,足见此次漏洞的重大影响与发现者的卓越能力。
