谷歌豪掷25万美元,奖励发现Chrome浏览器高危漏洞的安全研究员
谷歌豪掷25万美元,奖励发现Chrome浏览器高危漏洞的安全研究员
8月12日消息,谷歌今天在披露的漏洞报告中表示,他们根据漏洞奖励计划(VRP),为一名安全研究员发放了 25 万美元(4分贝注:现汇率约合 179.8 万元人民币)的奖金。
据谷歌介绍,这名安全研究员在 4月23日时发现了 Chrome 浏览器的高危安全漏洞 ——“沙盒逃逸”,这个漏洞位于渲染器进程中,IPCZ(Chrome 内核的一种通信系统)错误允许渲染器重复的浏览器进程句柄从沙盒中逃逸,从而突破浏览器的各种防线。
研究员在上报给谷歌时将这个漏洞标记为“中等危害”,但谷歌工程师认为这项漏洞危害程度非常高,谷歌将其定义为 S0 / S1 级严重性,同时将修复工作设置为 P1 优先级。
谷歌后续在 5月发布的 Chrome 新版本中对漏洞进行修复,并且按照行业惯例在漏洞修复后 90 天披露细节,让所有研究人员都能学习、分析漏洞细节。
同时谷歌在经过评估后认为,这项漏洞危害程度极高且非常复杂,最终根据 Chrome 漏洞奖励计划(VRP),向这名研究员发放 25 万美元(现汇率约合 179.8 万元人民币)奖励。
根据谷歌“漏洞猎人”制定的规则,研究人员提交高质量且包含 RCE 演示的非沙盒进程逃逸 / 内存损坏漏洞可获得 2.5 万美元-25 万美元的奖金,而这名研究员所获得的顶格奖励“非常罕见”。
免责声明:
本站提供的一切内容信息、软件、教程、影音仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!
