Google正在通过继续提高漏洞奖金的方式吸引更多安全研究人员参与Chrome浏览器的安全改进,Google日前宣布将Chrome漏洞安全奖励计划的单个漏洞最高奖金提高到25万美元。
Google安全工程师在博客中表示:
通过调整ChromeVRP奖励和金额,以便向参与Chrome漏洞研究的安全研究人员提供更好的结构和更明确的期望,激励安全研究人员更加深入的研究Chrome安全漏洞和提交更高质量的漏洞报告。
其中单个漏洞的最高潜在奖励金额现在提高到25万美元,该奖励级别适用于在非沙盒过程中展示RCE(远程代码执行):如果可以在不破坏渲染器的情况下实现非沙盒过程的RCE则有资格获得更高的金额,包括渲染器RCE奖励。
Google还提到针对MiraclePtr绕过的漏洞奖励金额从100115美元翻倍到250128美元,MiraclePtr是Google为Chrome推出的一种安全缓解方案,用于缓解UaF类漏洞的危害。
下面是Google分类的漏洞等级:
影响较小的漏洞:可用性非常低、可利用的前提明显、攻击者能够操控的能力较低、对用户造成的风险低
影响中等的漏洞:可利用的前提条件适中、攻击者能够操控的能力适中
影响较高的漏洞:可利用的直接途径、可证明的可以造成重大危害、可远程利用以及前提条件非常低
所有安全漏洞报告只要包含适用等级的特征就有资格获得漏洞奖励,同时Google还在探索更多实验性的奖励机会,类似于之前如果发现全链条漏洞则可以获得超额的奖励。
当然如果提交的报告没有展示潜在的安全危害或者对用户造成的危害非常小,或者是纯粹的理论或推测问题的报告,这种情况下通常不太可能获得Google提供的奖励。