谷歌悬赏25万美元征集Chrome高危漏洞

8月12日，谷歌在其最新发布的漏洞报告中披露，一位安全研究人员因发现Chrome浏览器高危漏洞而获得了25万美元（约合179.8万元人民币）的奖励，这是谷歌漏洞奖励计划（VRP）中的一笔高额奖金。

据了解，这位研究人员在今年4月23日发现了一个名为"沙盒逃逸"的严重安全漏洞。该漏洞存在于Chrome的渲染器进程中，由于IPCZ（Chrome内核通信系统）的错误，导致渲染器可以重复获取浏览器进程句柄，从而突破浏览器的安全防护机制。

有趣的是，研究人员最初将这个漏洞标记为"中等危害"上报给谷歌，但经过谷歌工程师评估后，认为其危害程度远超预期。谷歌最终将其评定为S0/S1级最高严重性漏洞，并列为P1最高优先级修复项。

谷歌在5月发布的Chrome更新中修复了这个漏洞，并按照行业惯例在修复完成90天后才公开漏洞细节，以便安全社区能够充分研究分析。

经过全面评估，谷歌认定该漏洞不仅危害性极高，而且技术实现非常复杂。根据Chrome漏洞奖励计划的规定，研究人员提交包含RCE演示的非沙盒进程逃逸/内存损坏漏洞可获得2.5万至25万美元不等的奖金。此次发放的25万美元属于该计划的最高奖励，在历史上相当罕见。