Google安全工程师在博客中表示:
通过调整 Chrome VRP 奖励和金额,以便向参与 Chrome 漏洞研究的安全研究人员提供更好的结构和更明确的期望,激励安全研究人员更加深入的研究 Chrome 安全漏洞和提交更高质量的漏洞报告。
其中单个漏洞的最高潜在奖励金额现在提高到 25 万美元,该奖励级别适用于在非沙盒过程中展示 RCE (远程代码执行):如果可以在不破坏渲染器的情况下实现非沙盒过程的 RCE 则有资格获得更高的金额,包括渲染器 RCE 奖励。
Google还提到针对 MiraclePtr 绕过的漏洞奖励金额从 100115 美元翻倍到 250128 美元,MiraclePtr 是Google为 Chrome 推出的一种安全缓解方案,用于缓解 UaF 类漏洞的危害。
下面是Google分类的漏洞等级:
影响较小的漏洞:可用性非常低、可利用的前提明显、攻击者能够操控的能力较低、对用户造成的风险低
影响中等的漏洞:可利用的前提条件适中、攻击者能够操控的能力适中
影响较高的漏洞:可利用的直接途径、可证明的可以造成重大危害、可远程利用以及前提条件非常低
所有安全漏洞报告只要包含适用等级的特征就有资格获得漏洞奖励,同时Google还在探索更多实验性的奖励机会,类似于之前如果发现全链条漏洞则可以获得超额的奖励。
当然如果提交的报告没有展示潜在的安全危害或者对用户造成的危害非常小,或者是纯粹的理论或推测问题的报告,这种情况下通常不太可能获得Google提供的奖励。