IT之家 8 月 12 日消息,谷歌今天在披露的漏洞报告中表示,他们根据漏洞奖励计划(VRP),为一名安全研究员发放了 25 万美元(IT之家注:现汇率约合 179.8 万元人民币)的奖金。
据谷歌介绍,这名安全研究员在 4 月 23 日时发现了 Chrome 浏览器的高危安全漏洞 ——“沙盒逃逸”,这个漏洞位于渲染器进程中,IPCZ(Chrome 内核的一种通信系统)错误允许渲染器重复的浏览器进程句柄从沙盒中逃逸,从而突破浏览器的各种防线。
研究员在上报给谷歌时将这个漏洞标记为“中等危害”,但谷歌工程师认为这项漏洞危害程度非常高,谷歌将其定义为 S0 / S1 级严重性,同时将修复工作设置为 P1 优先级。
谷歌后续在 5 月发布的 Chrome 新版本中对漏洞进行修复,并且按照行业惯例在漏洞修复后 90 天披露细节,让所有研究人员都能学习、分析漏洞细节。
