谷歌提高了 Chrome 漏洞的漏洞最高奖励。沙箱逃逸漏洞的最高奖励已从之前的 40,000 美元提升至 250,000 美元。谷歌还改变了对内存损坏漏洞的奖励方式。对 Chrome 中的漏洞进行 “深入研究” 的奖励更加丰厚。因此,该公司调整了浏览器内存损坏漏洞的处理结构。今后,谷歌将区分报告中描述攻击者如何实际引发远程代码执行的内容。一份研究人员描述如何将代码写入内存特定位置的报告,最高可获得 90,000 美元。而仅仅描述内存损坏的报告,最高则为 35,000 美元。
谷歌还改变了对其他类型漏洞的奖励方式。该公司将考虑对最终用户的实际影响。在评估时,会考虑漏洞在实际中被利用的可能性、浏览器在被利用前需满足的条件以及最终可能造成的损害。未来,漏洞将根据低、中、高影响进行分类,并相应地给予奖励。越来越多的公司对漏洞报告的提交方式进行奖励。描述详尽且包含实际操作的报告通常能获得更高的奖励。这通常需要更多的研究工作,从而获得更多的回报。
微信扫一扫