Η Google ανακοίνωσε την επέκταση της πρωτοβουλίας για την πληρωμή ανταμοιβών σε μετρητά για τον εντοπισμό ζητημάτων ασφαλείας στον πυρήνα Linux, την πλατφόρμα ενορχήστρωσης κοντέινερ Kubernetes, τη μηχανή GKE (Google Kubernetes Engine) και το περιβάλλον διαγωνισμού ευπάθειας kCTF (Kubernetes Capture the Flag).
Το πρόγραμμα bounty περιλαμβάνει ένα επιπλέον μπόνους 20 $ για ευπάθειες 0 ημερών, για εκμεταλλεύσεις που δεν απαιτούν υποστήριξη για χώρους ονομάτων χρήστη (user namespaces) και για επίδειξη νέων μεθόδων εκμετάλλευσης. Η βασική πληρωμή για την επίδειξη ενός λειτουργικού exploit στο kCTF είναι 31337 $ (η βασική πληρωμή πηγαίνει στον συμμετέχοντα που επιδεικνύει πρώτος ένα λειτουργικό exploit, αλλά οι πληρωμές μπόνους μπορούν να εφαρμοστούν σε επόμενα exploit για την ίδια ευπάθεια).
Συνολικά, λαμβάνοντας υπόψη τα μπόνους, η μέγιστη ανταμοιβή για εκμετάλλευση 1 ημέρας (προβλήματα που εντοπίστηκαν με βάση την ανάλυση διορθώσεων σφαλμάτων στη βάση κώδικα που δεν επισημαίνονται ρητά ως τρωτά σημεία) μπορεί να φτάσει έως και τα 71337 $ (ήταν 31337 $) και για 0-ημέρα (τα προβλήματα δεν έχουν ακόμη επιλυθεί) - 91337 $ (ήταν 50337 $). Το πρόγραμμα πληρωμών θα ισχύει έως τις 31 Δεκεμβρίου 2022.
Σημειώνεται ότι τους τελευταίους τρεις μήνες η Google επεξεργάστηκε 9 αιτήσεις με πληροφορίες για τρωτά σημεία, για τις οποίες καταβλήθηκαν 175 χιλιάδες δολάρια. Οι συμμετέχοντες ερευνητές προετοίμασαν πέντε εκμεταλλεύσεις για ευπάθειες 0-ημέρας και δύο για ευπάθειες 1 ημέρας. Τρία ζητήματα που έχουν ήδη επιδιορθωθεί στον πυρήνα του Linux (CVE-2021-4154 στο cgroup-v1, CVE-2021-22600 στο af_packet και CVE-2022-0185 στο VFS) έχουν γνωστοποιηθεί δημόσια (αυτά τα ζητήματα έχουν ήδη εντοπιστεί μέσω του Syzkaller και για διορθώσεις προστέθηκαν στον πυρήνα δύο αναλύσεις).
Πηγή: opennet.ru