أعلنت Google عن توسيع مبادرة دفع مكافآت نقدية لتحديد المشكلات الأمنية في Linux kernel ومنصة تنسيق حاويات Kubernetes ومحرك GKE (Google Kubernetes Engine) وبيئة منافسة الثغرات الأمنية kCTF (Kubernetes Capture the Flag).
يشتمل برنامج المكافأة على مكافأة إضافية بقيمة 20 دولار أمريكي مقابل الثغرات الأمنية لمدة 0 يوم، ولبرامج الاستغلال التي لا تتطلب دعمًا لمساحات أسماء المستخدمين (مساحات أسماء المستخدمين)، ولإظهار أساليب استغلال جديدة. إن العائد الأساسي لإظهار برمجية إكسبلويت العاملة في kCTF هو 31337 دولارًا أمريكيًا (يذهب العائد الأساسي إلى المشارك الذي يوضح برمجية إكسبلويت العاملة لأول مرة، ولكن يمكن تطبيق دفعات المكافأة على برمجيات إكسبلويت اللاحقة لنفس الثغرة الأمنية).
في المجمل، مع الأخذ في الاعتبار المكافآت، يمكن أن يصل الحد الأقصى للمكافأة مقابل استغلال يوم واحد (المشكلات التي تم تحديدها بناءً على تحليل إصلاحات الأخطاء في قاعدة التعليمات البرمجية والتي لم يتم تحديدها بشكل صريح على أنها نقاط ضعف) إلى ما يصل إلى 1 دولارًا أمريكيًا (كان 71337 دولارًا أمريكيًا)، وبالنسبة لـ 31337 يوم (لم يتم حل المشكلات بعد) - 0 دولارًا أمريكيًا (كان 91337 دولارًا أمريكيًا). سيكون برنامج الدفع صالحًا حتى 50337 ديسمبر 31.
يشار إلى أن جوجل عالجت خلال الأشهر الثلاثة الماضية 9 طلبات تحتوي على معلومات حول الثغرات الأمنية، تم دفع مقابلها 175 ألف دولار. أعد الباحثون المشاركون خمسة ثغرات لثغرات يوم واحد واثنتين لثغرات يوم واحد. تم الكشف علنًا عن ثلاث مشكلات تم إصلاحها بالفعل في Linux kernel (CVE-0-1 في cgroup-v2021 وCVE-4154-1 في af_packet وCVE-2021-22600 في VFS) (تم تحديد هذه المشكلات بالفعل من خلال Syzkaller و تمت إضافة إصلاحات إلى عطلين في النواة).
المصدر: opennet.ru