Google 再提高 Chrome 漏洞赏金数额，最高可达25万美元

近日 ，再提谷歌公司宣布通过其漏洞奖励计划报告的高C高Google Chrome单一漏洞的最高奖励金额已超过25万美元。

从8月28日起，洞赏达万谷歌将根据研究人员报告的金数漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示Chrome内存损坏和堆栈跟踪的额最基线报告显著提升至通过功能性漏洞展示远程代码执行的高质量报告 。

Chrome 安全工程师 Amy Ressler 表示：现在是美元时候改进 Chrome VRP 奖励和金额了 ，以便为向我们报告漏洞的再提安全研究人员提供改进的结构和更明确的香港云服务器期望，并激励对 Chrome 漏洞进行高质量报告和更深入的高C高研究，探索它们的洞赏达万全部影响和可利用潜力。

对于在非沙盒过程中展示远程代码执行（RCE）的金数单一问题 ，最高奖励金额可达25万美元。额最如果这种RCE能够在不损害渲染器的美元情况下实现，奖励金额甚至可能更高。再提

此外，高C高谷歌还将MiraclePtr绕过奖励的洞赏达万金额增加了一倍多，服务器租用从10万美元提升至25万美元。

Google 还会根据漏洞的质量、影响和对 Chrome 用户的潜在危害，将其他类别的漏洞报告归类为以下类别并给予奖励 ：

影响较小：可利用的可能性低、利用的先决条件重要 、攻击者控制力低
、用户危害风险/可能性低中等影响：利用的先决条件中等，攻击者控制程度一般高影响：可利用性的云计算直接路径、可证明和重大的用户危害
、远程可利用性
、利用前提条件低

Ressler 表示：当所有报告包含适用的特征时 ，它们仍然有资格获得奖金奖励。我们将继续探索更多的实验性奖励机会，类似于之前的全链漏洞利用奖励 ，并以更好地服务于安全社区的方式发展我们的计划。源码下载没有证明安全影响或潜在用户伤害的报告
，或者纯粹是理论或推测问题的报告
，不太可能有资格获得 VRP 奖励。

本月早些时候 ，谷歌还宣布，由于可操作漏洞报告数量的减少 ，其Play安全奖励计划将在8月31日关闭新报告的提交 。

7月 ，谷歌启动了kvmCTF，免费模板这是一个新的漏洞奖励计划，旨在提高基于内核的虚拟机（KVM）管理程序的安全性 ，为完整的VM逃逸漏洞提供高达25万美元的奖励。

自2010年推出漏洞奖励计划以来，谷歌已向报告超过1.5万名漏洞安全研究人员支付了超过5000万美元的奖励
。