Google annoncerede udvidelsen af initiativet til at betale kontante belønninger for at identificere sikkerhedsproblemer i Linux-kernen, Kubernetes container orkestreringsplatformen, GKE (Google Kubernetes Engine) motoren og kCTF (Kubernetes Capture the Flag) sårbarhedskonkurrencemiljøet.
Bounty-programmet inkluderer en ekstra $20 bonus for 0-dages sårbarheder, for udnyttelser, der ikke kræver understøttelse af brugernavnerum (brugernavnerum), og for demonstration af nye udnyttelsesmetoder. Grundudbetalingen for at demonstrere en fungerende udnyttelse i kCTF er $31337 (basisudbetalingen går til den deltager, der først demonstrerer en fungerende udnyttelse, men bonusudbetalinger kan anvendes på efterfølgende udnyttelser for den samme sårbarhed).
I alt, under hensyntagen til bonusser, kan den maksimale belønning for en 1-dags udnyttelse (problemer identificeret baseret på analysen af fejlrettelser i kodebasen, som ikke er eksplicit markeret som sårbarheder) nå op til $71337 (var $31337), og for 0-dag (problemer endnu ikke løst) - $91337 (var $50337). Betalingsprogrammet vil være gyldigt indtil 31. december 2022.
Det bemærkes, at Google i løbet af de seneste tre måneder har behandlet 9 ansøgninger med oplysninger om sårbarheder, for hvilke der blev betalt 175 tusind dollars. De deltagende forskere forberedte fem udnyttelser til 0-dages sårbarheder og to til 1-dags sårbarheder. Tre problemer, der allerede er rettet i Linux-kernen (CVE-2021-4154 i cgroup-v1, CVE-2021-22600 i af_packet og CVE-2022-0185 i VFS) er blevet offentliggjort (disse problemer er allerede blevet identificeret gennem Syzkaller og for rettelser blev tilføjet til kernen to opdelinger).
Kilde: opennet.ru