谷歌豪掷 25 万美元，重奖 Chrome 浏览器高危漏洞发现者

　　8 月 12 日消息，谷歌在今日披露的漏洞报告中宣布，依据漏洞奖励计划(VRP)，已向一名安全研究员发放了高达 25 万美元的奖金，按当前汇率折算，约合人民币 179.8 万元。这一高额奖励再度彰显了谷歌对产品安全漏洞的重视程度，以及对安全研究人员的大力激励。

　　据谷歌介绍，今年 4 月 23 日，这位安全研究员成功发现了 Chrome 浏览器中存在的高危安全漏洞 ——“沙盒逃逸”。该漏洞位于渲染器进程内，由于 Chrome 内核通信系统 IPCZ 出现错误，导致渲染器进程句柄能够重复从沙盒中逃逸。这一严重漏洞一旦被恶意利用，攻击者便能突破浏览器设置的重重安全防线，对用户数据安全构成极大威胁。

　　研究员最初上报时，将此漏洞标记为 “中等危害”。然而，谷歌工程师在深入评估后，判定该漏洞的危害程度极高，遂将其定义为 S0/S1 级严重性，同时将修复工作设定为 P1 最高优先级，这意味着该漏洞的修复刻不容缓。

　　随后，谷歌迅速行动，于 5 月发布的 Chrome 新版本中成功修复了这一漏洞。遵循行业通行做法，谷歌在漏洞修复 90 天后详细披露了相关细节，以便全球研究人员能够深入学习、分析该漏洞，从而进一步提升网络安全防护水平。

　　谷歌经全面评估后认为，此次发现的漏洞不仅危害程度极高，而且技术层面极为复杂，对 Chrome 浏览器的安全架构构成了严峻挑战。基于此，最终依据 Chrome 漏洞奖励计划(VRP)，向该研究员发放了 25 万美元的顶格奖励。在谷歌 “漏洞猎人” 规则框架下，研究人员若提交包含远程代码执行(RCE)演示的高质量非沙盒进程逃逸或内存损坏漏洞，奖金范围在 2.5 万美元至 25 万美元之间。但能够获得 25 万美元这一最高额度奖励的情况，在实际中 “极为罕见”，足见此次漏洞的重大影响与发现者的卓越能力。