谷歌6月1日宣布，对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍，直至2023年12月1日。

该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞，最终帮助该软件增强抵御攻击的整体弹性。

Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效，只适用于首个功能性全链漏洞。

同时全链漏洞必须是导致Chrome浏览器沙盒逃逸，并在沙箱之外演示攻击者控制/代码执行。谷歌解释说：漏洞利用场景必须是完全远程的，并且漏洞利用能够被远程攻击者使用。

符合条件的全链漏洞必须在最初的漏洞报告时对Chrome的扩展稳定版、稳定版或测试版有效。如果该漏洞是在漏洞修复后提供的，那么它只需要在原始报告时对生产版本的Chrome浏览器起作用。

通过Chrome VRP提交的后续全链漏洞也将获得重大奖励，将是常规奖励的两倍。

通过提交一个全链漏洞，参与者可以获得高达18万美元的奖励，同时也有可能再获得其他奖金，而在六个月的窗口期提交的其他漏洞，最高可获得12万美元的奖励。

Chrome安全团队高级技术项目经理Amy Ressler说：这些漏洞使我们对利用Chrome浏览器的潜在攻击有了宝贵的了解，并使我们能够确定更好地加固Chrome功能的策略，以及未来安全实施的方向。

谷歌VRP的最新进展

本次公告是在5月份推出新的移动漏洞奖励计划（Mobile VRP）之后发布的，该计划对在谷歌Android应用程序中发现的安全漏洞进行奖励。

8月，该公司还宣布将为谷歌开源软件的最新发布版本提供漏洞奖金，包括Bazel、Angular、Golang、Protocol buffers和Fuchsia等项目。

十年来，谷歌已经通过其漏洞奖励计划（VRP）收获了超过15000个漏洞并支付了超过5000万美元的赏金。仅在去年，谷歌就支付了1200万美元，其中60.5万美元奖励给了gzobqq（这是安卓系统VRP历史上最高的奖励金额），用于奖励安卓系统漏洞链中的一系列五个安全漏洞。

参考链接：https://www.bleepingcomputer.com/news/google/google-triples-rewards-for-chrome-sandbox-escape-chain-exploits/