最近谷歌宣布對 Chrome 漏洞賞金計劃（VRP）的獎金進行了大幅提升，目的是為了鼓勵更多的安全研究者參與到 Chrome 瀏覽器的安全檢測中。新的獎勵機制使得漏洞獵人們能在發(fā)現(xiàn)重大漏洞后獲得高達25萬美元的獎金，這無疑是一個巨大的激勵。

那么，想要獲得這筆豐厚獎金，你需要完成兩個重要任務(wù)。首先，你得找到一個內(nèi)存損壞的漏洞，這個漏洞必須出現(xiàn)在未沙盒化的進程中。簡單來說，內(nèi)存損壞就是軟件的內(nèi)存被以某種方式改變，導(dǎo)致軟件出現(xiàn)異常。而未沙盒化的進程意味著這個漏洞能夠影響到整個 Chrome 應(yīng)用。其次，你還需要提交一個 “高質(zhì)量報告”，證明你發(fā)現(xiàn)的漏洞能夠?qū)е?a href="http://www.xwmpso.com/tags/883965.shtml" target="_blank">遠程代碼執(zhí)行（RCE）。只有滿足這兩個條件，才能有機會獲得那高達25萬美元的獎金。值得一提的是，以前這個最高獎金只有4萬美元。

當然，如果你的漏洞不是那么嚴重，獎金也會有所遞減。比如，如果你能證明遠程執(zhí)行在一個受控環(huán)境下是可行的，獎金可達9萬美元;而如果你提交的報告顯示存在主動內(nèi)存損壞，最高可獲得3.5萬美元的獎勵。此外，發(fā)現(xiàn)高度特權(quán)進程中的內(nèi)存損壞漏洞，可以獲得高達8.5萬美元的獎金，而在沙盒進程中發(fā)現(xiàn)相同漏洞的獎金則為5.5萬美元。

谷歌還為其他類型的安全漏洞提升了獎金，例如，如果你發(fā)現(xiàn)了網(wǎng)站隔離繞過的漏洞，可以獲得最高3萬美元的獎勵;而如果是安全 UI 欺騙漏洞，則獎金為1萬美元。值得注意的是，MiraclePtr 繞過獎勵也增加了一倍多，從之前的100，115美元提升至250，128美元。除此之外，如果你能找出具體是哪個提交引入了這個漏洞，還能額外獲得1，000美元的獎勵。

這次的獎金提升無疑會吸引更多的安全研究者加入到 Chrome 的安全保護行列中，共同努力讓我們的上網(wǎng)環(huán)境更加安全。

劃重點:

1. ?? 谷歌對 Chrome 漏洞賞金計劃的最高獎金提升至25萬美元，鼓勵安全研究者參與。

2. ?? 要獲得最高獎金，需找到未沙盒化的內(nèi)存損壞漏洞并提交高質(zhì)量報告。

3. ?? 其他類型的安全漏洞獎金也有所提升，吸引更多研究者加入。

（舉報）