Кампанія Google абвясціла аб пашырэнні ініцыятывы па выплаце грашовых узнагарод за выяўленне праблем з бяспекай у ядры Linux, платформе для аркестроўкі кантэйнераў Kubernetes, рухавічку GKE (Google Kubernetes Engine) і асяроддзі для правядзення спаборніцтваў па пошуку ўразлівасцяў kCTF (Kubernetes Capture the Flag).
У праграму ўзнагароджанняў уведзены дадатковыя бонусныя выплаты памерам 20 тысяч долараў за 0-day уяўнасці, за эксплоіты не патрабавальныя ўключэнні падтрымкі прасторы імёнаў ідэнтыфікатараў карыстальнікаў (user namespaces) і за дэманстрацыю новых метадаў эксплуатацыі. Базавая выплата за дэманстрацыю ў kCTF працоўнага эксплоіту складае 31337 даляраў (базавая выплата вырабляецца ўдзельніку, першаму прадэманстраваламу працоўны эксплоіт, але бонусныя выплаты могуць быць ужытыя і для наступных эксплоітаў для той жа ўразлівасці).
У суме з улікам бонусаў максімальны памер узнагароды за 1-day эксплоит (праблемы, выяўленыя на аснове аналізу выпраўленняў памылак у кодавай базе, відавочна не пазначаных як уразлівасці) можа даходзіць да 71337 даляраў (было $31337), а за 0-day (праблемы, для якіх яшчэ няма выпраўлення) - 91337 даляраў (было $ 50337). Праграма выплат будзе дзейнічаць да 31 снежня 2022 года.
Адзначаецца, што за мінулыя тры месяцы Google апрацаваў 9 заявак з інфармацыяй аб уразлівасцях, па якіх было выплачана 175 тысяч долараў. Якія прынялі ўдзел даследчыкамі было падрыхтавана пяць эксплоітаў для 0-day уяўзімасцяў і два для 1-day уразлівасцяў. Па трох ужо выпраўленым у ядры Linux праблемам (CVE-2021-4154 у cgroup-v1, CVE-2021-22600 у af_packet і CVE-2022-0185 у VFS) інфармацыя расчынена публічна (паказаныя праблемы да гэтага ўжо былі выяўлены праз Syzkaller двух прабоем у ядро былі дададзены выпраўленні).
Крыніца: opennet.ru