谷歌机密最新消息，谷歌提高零日漏洞奖励

谷歌机密最新消息，谷歌提高零日漏洞奖励虽然谷歌不会为同一安全漏洞的重复漏洞付费，但该公司表示，新型漏洞利用技术的奖金仍将适用，这意味着研究人员仍然可以获得2万美元的重复漏洞。"如果他们展示新颖的漏洞利用技术（从0美元开始），我们甚至会为重复品支付至少20，000美元。但是，我们还会将 1 天的奖励数量限制为每个版本/内部版本仅一个。获得漏洞利用的最大金额取决于几个条件，包括它们是否是零日漏洞（没有安全补丁的未知错误），如果它们不需要非特权用户命名空间，以及它们是否使用新颖的利用技术。他们每个人都附带20，000美元的奖金，可以使第一个有效漏洞利用提交的价值达到91，337美元。"这些变化将1天的漏洞利用增加到71，337美元（高于31，337美元），并使单个漏洞利用的最大奖励为91，337美元（高于50，337美元），"Vela解释说。

谷歌表示，它通过使用独特的利用技术为零日漏洞和漏洞利用增加更大的奖金，提高了Linux内核，Kubernetes，Google Kubernetes Engine（GKE）或kCTF漏洞报告的奖励。

"我们增加了奖励，因为我们认识到，为了吸引社区的注意力，我们需要将奖励与他们的期望相匹配，"Google Vulnerability Matchmaker Eduardo Vela解释说。

"我们认为扩张是成功的，因此我们希望将其进一步延长至至少到年底（2022年）。

虽然最初在11月宣布，关键漏洞的报告将根据其严重程度获得高达50，337美元的奖励，但Google现在将最高奖励增加到91，337美元。

获得漏洞利用的最大金额取决于几个条件，包括它们是否是零日漏洞（没有安全补丁的未知错误），如果它们不需要非特权用户命名空间，以及它们是否使用新颖的利用技术。

他们每个人都附带20，000美元的奖金，可以使第一个有效漏洞利用提交的价值达到91，337美元。

"这些变化将1天的漏洞利用增加到71，337美元（高于31，337美元），并使单个漏洞利用的最大奖励为91，337美元（高于50，337美元），"Vela解释说。

"如果他们展示新颖的漏洞利用技术（从0美元开始），我们甚至会为重复品支付至少20，000美元。但是，我们还会将 1 天的奖励数量限制为每个版本/内部版本仅一个。

虽然谷歌不会为同一安全漏洞的重复漏洞付费，但该公司表示，新型漏洞利用技术的奖金仍将适用，这意味着研究人员仍然可以获得2万美元的重复漏洞。

过去三个月内支付的$175，000

自11月以来，谷歌已经为九个不同的提交支付了超过175，000美元，其中包括五个零日和两个1天。

谷歌表示，它已经修复了这九个漏洞中的三个：CVE-2021-4154，CVE-2021-22600（补丁）和CVE-2022-0185（写入）。

"这三个错误最初是由Syzkaller发现的，其中两个在向我们报告时已经在Linux内核的主线和稳定版本上修复，"Vela补充道。

正如谷歌在2021年7月透露的那样，自十多年前推出第一个VRP以来，它已经奖励了来自84个不同国家的2，000多名安全研究人员报告了大约11，000个错误。

总而言之，谷歌表示，自2010年1月Chromium漏洞奖励计划启动以来，研究人员已经赚了超过2900万美元。

在上周发布的"漏洞奖励计划：2021年度回顾"报告中，该公司表示，它在2021年颁发了破纪录的8，700，000美元奖励，其中包括Android VRP历史上最高的支出：157，000美元的漏洞利用链。