热门资讯

谷歌向发现Chrome沙盒逃逸漏洞的研究人员奖励25万美元表彰其出色工作

业界来源：蓝点网 2025-08-12 21:52:00

日前在 Chromium 项目中最新公布的某个问题详细介绍安全研究人员在 2025 年 4 月 23 日发现的高危安全漏洞，该漏洞属于 Chrome 浏览器沙盒逃逸并且具有极高的危害。

有趣的是发现漏洞的研究人员将该问题标记为中等危害，但经过谷歌工程师评估后认定该漏洞危害程度非常高，因此谷歌为其设置 S0/S1 级严重性，同时将漏洞修复工作设置为 P1 优先级。

根据描述该漏洞位于渲染器进程中，IPCZ 错误允许渲染器重复的浏览器进程句柄从沙盒中逃逸，从而绕过谷歌为 Chrome 设置的各种安全边界造成安全问题。

谷歌已经在 5 月份发布的 Chrome 新版本中对该漏洞进行修复，现在已经过去 90 天所以谷歌将此次安全漏洞的完整细节公开，让有兴趣的安全研究人员可以分析漏洞的细节。

值得注意的是此次漏洞对研究人员来说是大丰收，谷歌经过评估后认为漏洞危害程度极高且非常复杂，最终 Chrome VRP 漏洞奖励计划决定为该漏洞提供 25 万美元奖励。

通常情况下 Chrome 安全漏洞的奖金都在几千美元左右，但该项目提供的最高漏洞奖金就是 25 万美元，话说这应该也是首次有漏洞获得最高奖励，至少在我们过去 10 年似乎都没听说过有类似的奖励。

根据 Chrome VRP 计划对于非沙盒进程中的逃逸和内存损坏，在研究人员提供高质量报告包含 RCE 演示时最高可以获得 25 万美元奖励，最低则是 2.5 万美元奖励，其他与进程和内存损坏有关的奖励最高在 8.5 万美元。

这种一次性获得 25 万美元奖励的情况确实是非常少见的，不过也可以看出来研究人员提交的漏洞报告质量非常高并且漏洞危害程度也非常大，所以谷歌才会破纪录的给出 25 万美元奖励。

via Chromium Issues