谷歌豪擲 25 萬美元，重獎 Chrome 浏覽器高危漏洞發現者

　　8 月 12 日消息，谷歌在今日披露的漏洞報告中宣布，依據漏洞獎勵計劃(VRP)，已向一名安全研究員發放了高達 25 萬美元的獎金，按當前彙率折算，約合人民币 179.8 萬元。這一高額獎勵再度彰顯了谷歌對産品安全漏洞的重視程度，以及對安全研究人員的大力激勵。

　　據谷歌介紹，今年 4 月 23 日，這位安全研究員成功發現了 Chrome 浏覽器中存在的高危安全漏洞 ——“沙盒逃逸”。該漏洞位于渲染器進程内，由于 Chrome 内核通信系統 IPCZ 出現錯誤，導緻渲染器進程句柄能夠重複從沙盒中逃逸。這一嚴重漏洞一旦被惡意利用，攻擊者便能突破浏覽器設置的重重安全防線，對用戶數據安全構成極大威脅。

　　研究員最初上報時，将此漏洞标記為 “中等危害”。然而，谷歌工程師在深入評估後，判定該漏洞的危害程度極高，遂将其定義為 S0/S1 級嚴重性，同時将修複工作設定為 P1 最高優先級，這意味着該漏洞的修複刻不容緩。

　　随後，谷歌迅速行動，于 5 月發布的 Chrome 新版本中成功修複了這一漏洞。遵循行業通行做法，谷歌在漏洞修複 90 天後詳細披露了相關細節，以便全球研究人員能夠深入學習、分析該漏洞，從而進一步提升網絡安全防護水平。

　　谷歌經全面評估後認為，此次發現的漏洞不僅危害程度極高，而且技術層面極為複雜，對 Chrome 浏覽器的安全架構構成了嚴峻挑戰。基于此，最終依據 Chrome 漏洞獎勵計劃(VRP)，向該研究員發放了 25 萬美元的頂格獎勵。在谷歌 “漏洞獵人” 規則框架下，研究人員若提交包含遠程代碼執行(RCE)演示的高質量非沙盒進程逃逸或内存損壞漏洞，獎金範圍在 2.5 萬美元至 25 萬美元之間。但能夠獲得 25 萬美元這一最高額度獎勵的情況，在實際中 “極為罕見”，足見此次漏洞的重大影響與發現者的卓越能力。