最近谷歌宣布對 Chrome 漏洞賞金計劃(VRP)的獎金進行了大幅提升�����,目的是為了鼓勵更多的安全研究者參與到 Chrome 瀏覽器的安全檢測中。新的獎勵機制使得漏洞獵人們能在發(fā)現重大漏洞后獲得高達25萬美元的獎金����,這無疑是一個巨大的激勵。
那么���,想要獲得這筆豐厚獎金��,你需要完成兩個重要任務�。首先���,你得找到一個內存損壞的漏洞���,這個漏洞必須出現在未沙盒化的進程中�。簡單來說,內存損壞就是軟件的內存被以某種方式改變�,導致軟件出現異常。而未沙盒化的進程意味著這個漏洞能夠影響到整個 Chrome 應用���。其次���,你還需要提交一個 “高質量報告”����,證明你發(fā)現的漏洞能夠導致遠程代碼執(zhí)行(RCE)����。只有滿足這兩個條件,才能有機會獲得那高達25萬美元的獎金�。值得一提的是,以前這個最高獎金只有4萬美元���。
當然���,如果你的漏洞不是那么嚴重,獎金也會有所遞減����。比如,如果你能證明遠程執(zhí)行在一個受控環(huán)境下是可行的����,獎金可達9萬美元;而如果你提交的報告顯示存在主動內存損壞,最高可獲得3.5萬美元的獎勵�。此外����,發(fā)現高度特權進程中的內存損壞漏洞�,可以獲得高達8.5萬美元的獎金,而在沙盒進程中發(fā)現相同漏洞的獎金則為5.5萬美元��。
谷歌還為其他類型的安全漏洞提升了獎金���,例如���,如果你發(fā)現了網站隔離繞過的漏洞,可以獲得最高3萬美元的獎勵;而如果是安全 UI 欺騙漏洞����,則獎金為1萬美元。值得注意的是��,MiraclePtr 繞過獎勵也增加了一倍多���,從之前的100,115美元提升至250�,128美元。除此之外�����,如果你能找出具體是哪個提交引入了這個漏洞,還能額外獲得1��,000美元的獎勵���。
這次的獎金提升無疑會吸引更多的安全研究者加入到 Chrome 的安全保護行列中�����,共同努力讓我們的上網環(huán)境更加安全����。
京公網安備 11010502041587號