从今天开始，谷歌将根据报告的质量以及研究员查找所报告漏洞的完整影响，对内存损坏漏洞进行分类。通过栈追踪和 PoC 演示Chrome 内存损坏，研究员可获得最高2.5万美元的奖励；而通过可运作利用展示远程代码执行的高质量报告可获得更多。

Chrome 安全工程师 Amy Ressler 表示，“是时候改变 Chrome VRP 奖励和金额了，通过提供优化后的结构和更明确的期待，推动研究员向我们报送并通过高质量的Chrome漏洞报送和更深入的研究，探索这些漏洞的完全影响和可利用性潜力。”

他提到，“如能演示通过单个漏洞利用在非沙箱流程中实现RCE，则研究员可获得最高25万美元的赏金。如果可在未攻陷渲染器的情况下，在非沙箱流程中实现RCE，则可获得包括渲染器RCE赏金在内的更高赏金。”

另外，谷歌还将 MiraclePtr 绕过的赏金从100115美元提升至2倍即250128美元。

谷歌还为其它类型的漏洞设置了奖励，根据报告质量、影响和潜在的用户影响，这些漏洞被分为：

Ressler 表示，“如报告中包括可应用特征，它们仍然可获得奖励。我们将继续探索更多的类似于之前的‘全链利用奖励’的实验性奖励机会，并改进我们的漏洞奖励计划，更好地服务安全社区。如报告无法演示漏洞对用户造成的安全影响或潜力，或纯粹是理论或推断性问题的报告，则可能无法获得VRP奖励。”

本月早些时候，谷歌还宣布称，因“所报告的可行漏洞数量下降”，将在本月月底即8月31日停止运行Play安全奖励计划 (GPSRP)。7月，谷歌发布了首次在2023年10月披露的kvmCTF 奖励计划，旨在改进KVM 管理程序的安全性，为完整的 VM 逃逸利用提供25万美元的奖励。

自2010年推出漏洞奖励计划 (VRP) 以来，谷歌已为报送超过1.5万个漏洞的安全研究员支付了超过5000万美元的奖励。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~