Google het die uitbreiding van die inisiatief aangekondig om kontantbelonings te betaal vir die identifisering van sekuriteitskwessies in die Linux-kern, die Kubernetes-houerorkestrasieplatform, die GKE (Google Kubernetes Engine)-enjin en die kCTF (Kubernetes Capture the Flag) kwesbaarheidskompetisie-omgewing.
Die bonusprogram sluit 'n bykomende $20-bonus in vir 0-dae kwesbaarhede, vir uitbuitings wat nie ondersteuning vir gebruikernaamruimtes (gebruikersnaamruimtes) vereis nie, en vir die demonstrasie van nuwe uitbuitingsmetodes. Die basisuitbetaling vir die demonstrasie van 'n werkende uitbuiting in die kCTF is $31337 (die basisuitbetaling gaan na die deelnemer wat eerste 'n werkende uitbuiting demonstreer, maar bonusuitbetalings kan toegepas word op daaropvolgende uitbuitings vir dieselfde kwesbaarheid).
In totaal, met inagneming van bonusse, kan die maksimum beloning vir 'n 1-dag uitbuiting (probleme geïdentifiseer op grond van die ontleding van foutoplossings in die kodebasis wat nie uitdruklik as kwesbaarhede gemerk is nie) tot $71337 bereik (was $31337), en vir 0-dag (probleme nog nie reggestel nie) - $91337 (was $50337). Die betaalprogram sal geldig wees tot 31 Desember 2022.
Daar word kennis geneem dat Google oor die afgelope drie maande 9 aansoeke met inligting oor kwesbaarhede verwerk het, waarvoor 175 duisend dollar betaal is. Die deelnemende navorsers het vyf uitbuitings voorberei vir 0-dag-kwesbaarhede en twee vir 1-dag-kwesbaarhede. Drie probleme wat reeds in die Linux-kern opgelos is (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet en CVE-2022-0185 in VFS) is in die openbaar bekend gemaak (hierdie probleme is reeds deur Syzkaller en vir regstellings is by die kern twee uiteensettings gevoeg).
Bron: opennet.ru