Google je najavio proširenje inicijative za isplatu novčane nagrade za identifikaciju sigurnosnih problema u Linux kernelu, platformi za orkestraciju Kubernetes kontejnera, GKE (Google Kubernetes Engine) i kCTF (Kubernetes Capture the Flag) okruženja ranjivosti.
Bounty program uključuje dodatnih 20 dolara bonusa za ranjivosti od 0 dana, za eksploatacije koje ne zahtijevaju podršku za korisničke prostore imena (korisničke imenske prostore) i za demonstraciju novih metoda eksploatacije. Osnovna isplata za demonstriranje radnog podviga u kCTF-u je 31337 dolara (osnovna isplata ide učesniku koji prvi demonstrira radni eksploat, ali bonus isplate se mogu primijeniti na naknadne eksploatacije za istu ranjivost).
Ukupno, uzimajući u obzir bonuse, maksimalna nagrada za 1-dnevni exploit (problemi identifikovani na osnovu analize ispravki grešaka u bazi kodova koji nisu eksplicitno označeni kao ranjivosti) može doseći do 71337 dolara (bilo je 31337 dolara), a za 0-dan (problemi još nisu riješeni) - 91337 dolara (bilo je 50337 dolara). Program plaćanja važiće do 31.
Napominje se da je u protekla tri mjeseca Google obradio 9 aplikacija sa informacijama o ranjivostima, za koje je plaćeno 175 hiljada dolara. Istraživači koji su učestvovali pripremili su pet eksploatacija za ranjivosti od 0 dana i dva za jednodnevne ranjivosti. Za tri problema koji su već popravljeni u Linux kernelu (CVE-1-2021 u cgroup-v4154, CVE-1-2021 u af_packet i CVE-22600-2022 u VFS), informacije su javno objavljene (naznačeni problemi su već identificirani kroz Syzkaller i za popravke su kernelu dodana dva kvara).
izvor: opennet.ru