Google hat die Erweiterung seines Programms zur Auszahlung von Belohnungen für die Identifizierung von Sicherheitsproblemen im Linux-Kernel, der Plattform zur Orchestrierung von Containern Kubernetes, der Google Kubernetes Engine (GKE) und der Umgebung für die Durchführung von Wettbewerben zur Auffindung von Schwachstellen, kCTF (Kubernetes Capture the Flag), angekündigt.
Das Belohnungsprogramm hat zusätzliche Bonuszahlungen in Höhe von 20.000 Dollar für 0-Day-Schwachstellen, für Exploits, die keine aktivierte Unterstützung für Benutzer-Namespace erfordern, sowie für die Demonstration neuer Ausnutzungstechniken eingeführt. Die Grundzahlung für die Demonstration eines funktionierenden Exploits im kCTF beträgt 31.337 Dollar (die Grundzahlung wird an den Teilnehmer ausgezahlt, der als Erster einen funktionierenden Exploit demonstriert, aber die Bonuszahlungen können auch für nachfolgende Exploits derselben Schwachstelle angewendet werden).
Insgesamt, unter Berücksichtigung der Boni, kann die maximale Belohnung für einen 1-Day Exploit (Probleme, die auf der Analyse von Bugfixes in der Codebasis basieren und nicht ausdrücklich als Schwachstellen gekennzeichnet sind) bis zu 71.337 US-Dollar (vorher 31.337 US-Dollar) betragen, während für einen 0-Day Exploit (Probleme, für die es noch keinen Fix gibt) 91.337 US-Dollar (vorher 50.337 US-Dollar) gezahlt werden können. Das Auszahlungssystem wird bis zum 31. Dezember 2022 gelten.
In den letzten drei Monaten hat Google 9 Anträge zu Schwachstellen bearbeitet, für die insgesamt 175.000 US-Dollar ausgezahlt wurden. Die beteiligten Forscher haben fünf Exploits für 0-Day-Schwachstellen und zwei für 1-Day-Schwachstellen vorbereitet. Zu drei bereits behobenen Problemen im Linux-Kernel (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet und CVE-2022-0185 im VFS) wurde die Information öffentlich gemacht (diese Probleme wurden zuvor bereits über Syzkaller identifiziert, und für zwei Probleme im Kernel wurden Patches hinzugefügt).
Quelle: opennet.ru
