最近谷歌宣布對 Chrome 漏洞賞金計劃(VRP)的獎金進行了大幅提升,目的是為了鼓勵更多的安全研究者參與到 Chrome 瀏覽器的安全檢測中���。新的獎勵機制使得漏洞獵人們能在發(fā)現(xiàn)重大漏洞后獲得高達25萬美元的獎金���,這無疑是一個巨大的激勵����。
那么����,想要獲得這筆豐厚獎金,你需要完成兩個重要任務���。首先���,你得找到一個內存損壞的漏洞,這個漏洞必須出現(xiàn)在未沙盒化的進程中��。簡單來說�,內存損壞就是軟件的內存被以某種方式改變,導致軟件出現(xiàn)異常��。而未沙盒化的進程意味著這個漏洞能夠影響到整個 Chrome 應用�。其次,你還需要提交一個 “高質量報告”�,證明你發(fā)現(xiàn)的漏洞能夠導致遠程代碼執(zhí)行(RCE)�。只有滿足這兩個條件����,才能有機會獲得那高達25萬美元的獎金。值得一提的是���,以前這個最高獎金只有4萬美元。
當然�����,如果你的漏洞不是那么嚴重�,獎金也會有所遞減。比如���,如果你能證明遠程執(zhí)行在一個受控環(huán)境下是可行的���,獎金可達9萬美元;而如果你提交的報告顯示存在主動內存損壞,最高可獲得3.5萬美元的獎勵�。此外,發(fā)現(xiàn)高度特權進程中的內存損壞漏洞���,可以獲得高達8.5萬美元的獎金�,而在沙盒進程中發(fā)現(xiàn)相同漏洞的獎金則為5.5萬美元。
谷歌還為其他類型的安全漏洞提升了獎金�����,例如��,如果你發(fā)現(xiàn)了網站隔離繞過的漏洞���,可以獲得最高3萬美元的獎勵;而如果是安全 UI 欺騙漏洞�����,則獎金為1萬美元��。值得注意的是��,MiraclePtr 繞過獎勵也增加了一倍多�����,從之前的100��,115美元提升至250����,128美元。除此之外�,如果你能找出具體是哪個提交引入了這個漏洞,還能額外獲得1���,000美元的獎勵�。
這次的獎金提升無疑會吸引更多的安全研究者加入到 Chrome 的安全保護行列中�,共同努力讓我們的上網環(huán)境更加安全。
京公網安備 11010502041587號