Facebook周五宣布，将通过其漏洞赏金计划为Hermes和Spark AR中发现的漏洞提供重大奖励。

Hermes是java script引擎，一年前Facebook作为开源发布了。爱马仕已被社交媒体巨头的React Native应用用于Android和其他软件，包括Spark AR，Spark AR是一种增强现实平台，用于在Facebook，Instagram甚至Facebook的Portal智能显示器上创建效果。

其漏洞赏金计划已涵盖了在本地Facebook代码中发现的漏洞，但该公司表示，它希望鼓励安全研究人员分析Hermes和Spark AR，这就是为什么它大大增加了漏洞赏金的原因。

例如，如果白帽黑客报告一个漏洞或漏洞利用链，该漏洞或漏洞利用链在运行Spark AR效果时可以远程执行代码，则他们可以赚取25,000美元。该漏洞可以直接针对Spark AR平台或Hermes java script VM。

“数量可能会根据特定的错误和漏洞进行调整。例如，缺少ASLR绕过的漏洞利用链可能会导致支出降低。同样，在没有清晰的RCE路径的情况下，越界书写将获得较低的支出，” Facebook 解释说。

允许攻击者读取用户数据的漏洞平均价值为15,000美元。由于越界读取或写入错误而导致的拒绝服务（DoS）漏洞，可以为研究人员带来500至3,000美元的收入。

如果他们提供完整的概念验证（PoC）漏洞，他们还可以获得 $ 15,000 的奖金，这意味着他们可能会因远程执行代码漏洞而获得$ 40,000。

去年，Facebook通过其漏洞赏金计划支付了超过220万美元，自2011年推出该计划以来，总共支付了近1000万美元。