Google oznámil rozšíření své iniciativy peněžní odměny za identifikaci bezpečnostních problémů v linuxovém jádře, platformě pro orchestraci kontejnerů Kubernetes, Google Kubernetes Engine (GKE) a soutěžním rámci soutěže o zranitelnost kCTF (Kubernetes Capture the Flag).
Program odměn zahrnuje dodatečné bonusové platby ve výši 20 0 USD za 31337denní zranitelnosti, za exploity, které nevyžadují podporu pro jmenné prostory uživatelů, a za demonstraci nových metod využívání. Základní výplata za předvedení pracovního exploitu v kCTF je XNUMX XNUMX $ (základní výplata se vyplácí prvnímu účastníkovi, který předvede pracovní exploit, ale bonusové výplaty lze použít na následující exploity pro stejnou zranitelnost).
Celkově, s přihlédnutím k bonusům, může maximální odměna za 1denní exploit (problémy zjištěné na základě analýzy oprav chyb v kódové základně, které nejsou výslovně označeny jako zranitelnosti) dosáhnout až 71337 31337 USD (bylo 0 91337 USD) a za 50337-den (problémy, pro které zatím neexistuje žádná oprava) - 31 2022 $ (bylo XNUMX XNUMX $). Platební program bude platný do XNUMX. prosince XNUMX.
Je třeba poznamenat, že za poslední tři měsíce Google zpracoval 9 aplikací s informacemi o zranitelnostech, za které bylo zaplaceno 175 tisíc dolarů. Zúčastnění výzkumníci připravili pět exploitů pro 0denní zranitelnosti a dva pro 1denní zranitelnosti. U tří problémů již opravených v jádře Linuxu (CVE-2021-4154 v cgroup-v1, CVE-2021-22600 v af_packet a CVE-2022-0185 ve VFS) byly zveřejněny informace (tyto problémy byly dříve identifikovány prostřednictvím Syzkaller a pro opravy byly přidány do jádra po dvou poruchách).
Zdroj: opennet.ru