谷歌向发现 Chrome 高危漏洞的安全研究员奖励 25 万美元

oogle 为了提高其产品和服务的安全性，向找出漏洞的安全研究员支付奖金的一项计划。在 2021 年，Google 就通过 VRP 向安全研究员发放了 870 万美元的漏洞奖励。时间来到了 2023 年，Google 则是公布了 2022 年的年度回顾。 在 2022

谷歌宣布推出 kvmCTF，一项针对基于内核的虚拟机 (KVM) 管理程序的漏洞奖励计划 (VRP)，于 2023 年10 月首次发布。 KVM 是一款强大的虚拟机管理程序，拥有超过 15 年的开源开发历史，广泛应用于消费者和企业领域，包括 Android 和 Go

虽然 IO_uring 是近几年 Linux 内核的最大创新之一，有助于提供更高效和高性能的 I/O，但它也存在各种安全漏洞。由于持续的安全问题，该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。 Google 安全博客指出，Google 漏

谷歌发布了最新版 Chrome 浏览器更新，修复多个高严重级别安全漏洞，这些漏洞可能允许攻击者在用户设备上执行任意代码。 此次更新适用于 Windows、macOS 和 Linux 平台的版本：[139.0.7258.127/.128 (Windows/macOS)] 和 [139.0.7258.127 (Linux)]

OpenAI 宣布扩大安全漏洞赏金计划，针对“exceptional and differentiated”的严重安全漏洞的最高漏洞赏金将提高五倍，从 20,000 美元提高至 100,000 美元。 同时还推出了所谓的“限时促销”活动，在此期间提交特定类别中合格报告的研

谷歌 Chrome 安全团队称其一直在致力于改善 Chrome 浏览器的内存安全；近期，该团队正在研究使用 heap scanning 技术来提高 C++ 的内存安全。 虽然从内存安全方面出发，Rust 当下可能更受大众喜爱。但 Chrome 安全团队认为，尽管人们

安全研究人员发现，Discord、Microsoft Teams 和其他应用软件所使用的底层框架存在 RCE（远程代码执行）漏洞。 上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上，安全研究人员在流行的应用软件如 D

来自谷歌安全研究团队 Project Zero 的研究表明，Linux 开发者在修复安全漏洞方面比其他任何人（包括谷歌）都要更加迅速。 从 2019 年到 2021 年，Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些  bug 中的 351

许多公司提供漏洞赏金计划，鼓励人们搜索并发现软件中的安全漏洞，并私下向供应商报告，以便在恶意攻击者利用漏洞之前实施并应用修复程序。安全研究人员和其他公众会获得金钱奖励，从而获得经济激励。 现在，微软已

全研究人员近日披露了iOS系统中一个基于Darwin通知机制的高危系统漏洞，攻击者可通过沙盒应用向系统发送特定通知，诱导设备进入“恢复模式”并触发无限重启循环。 这名研究人员仅通过一个简单的代码行（notify_post）就触

研究人员在 Next.js 框架的中间件实现中发现严重安全漏洞（CVE-2025-29927），攻击者通过伪造 x-middleware-subrequest 请求头可绕过身份验证与路由保护机制。该漏洞影响 11.1.4 至 15.2.3 之前的所有版本，覆盖超过 82% 的生产环境部署（依

理日益增加的成本和频率的数据泄露方面存在分歧。研究发现，虽然 95% 的研究组织经历过不止一次的数据泄露事件，但被泄露的组织更有可能将事件成本转嫁给消费者 (57%)，而不是增加安全投资 (51%)。 报告中的一些主要发现

使用Accessibility权限 外界未曝光细节与 POC 的 0day 漏洞（Chrome buglist 内公开漏洞不在奖励计划内） 所有漏洞(包括root权限提升)在所有场景中只会判定有效一次，在其他场景或利用链中再次被使用，将被视为漏洞重复 漏洞验

过该计划提请我们注意这些漏洞。我们正在与客户和安全研究员联系，让他们了解这一情况。 通过官网查询该计划可发现，英特尔会根据报告问题的严重程度，对每个漏洞奖励 500 到 10 万美元。 此次泄漏的源代码包含了大