Chrome高危漏洞发现者获25万美元奖励

谷歌近日公布的漏洞报告中显示，一名安全研究人员因发现 Chrome 浏览器的一个高危漏洞，获得 25 万美元（约合人民币 179.8 万元）的奖励。该漏洞属于“沙盒逃逸”类型，存在于浏览器的渲染器进程中。由于 IPCZ 通信系统存在的问题，攻击者可利用该漏洞重复获取浏览器进程句柄，从而突破沙盒限制，绕过浏览器的安全防护机制。

该漏洞由研究人员于 4 月 23 日发现并上报。上报时被标记为“中等危害”，但谷歌工程师在评估后认为其威胁等级极高，将其归类为 S0 / S1 级严重性漏洞，并将修复优先级设定为 P1。谷歌在 5 月发布的 Chrome 新版本中完成了修复，并按照惯例，在漏洞修复 90 天后公开相关细节，以便研究人员学习分析。

谷歌在评估该漏洞后指出，其危害性和复杂程度均达到罕见水平，因此依据 Chrome 漏洞奖励计划（VRP），向发现者发放最高额度的奖金。根据奖励规则，研究人员若能提交高质量、附带远程代码执行（RCE）演示的非沙盒逃逸或内存损坏漏洞，可获得 2.5 万美元至 25 万美元不等的奖励。此次全额奖励的发放极为少见，体现出该漏洞的特殊严重性。