Google anoncis ekspansion de sia kontanta rekompenca iniciato por identigi sekurecproblemojn en la Linukso-kerno, la Kubernetes-ujo-instrumentadplatformo, la Google Kubernetes Engine (GKE), kaj la kCTF (Kubernetes Capture the Flag) vundebleco konkuradmedio.
La rekompenca programo inkluzivas kromajn gratifikojn de $20 por 0-tagaj vundeblecoj, por ekspluatoj, kiuj ne postulas subtenon por uzantnomspacoj, kaj por pruvi novajn ekspluatmetodojn. La baza elpago por pruvi funkciantan ekspluaton en kCTF estas $ 31337 (la baza elpago estas farita al la unua partoprenanto se temas pri pruvi funkciantan ekspluaton, sed krompagoj povas esti aplikitaj al postaj ekspluatoj por la sama vundebleco).
Entute, konsiderante gratifikojn, la maksimuma rekompenco por 1-taga ekspluato (problemoj identigitaj surbaze de analizo de eraroj en la koda bazo, kiuj ne estas eksplicite markitaj kiel vundeblecoj) povas atingi ĝis $71337 (estis $31337), kaj por 0-tago (problemoj por kiuj ankoraŭ ne ekzistas solvo) - $91337 (estis $50337). La pagprogramo validos ĝis la 31-a de decembro 2022.
Oni rimarkas, ke dum la lastaj tri monatoj, Guglo prilaboris 9-aplikaĵojn kun informoj pri vundeblecoj, por kiuj estis pagitaj 175 mil USD. La partoprenantaj esploristoj preparis kvin ekspluatojn por 0-tagaj vundeblecoj kaj du por 1-tagaj vundeblecoj. Por tri problemoj jam fiksitaj en la Linukso-kerno (CVE-2021-4154 en cgroup-v1, CVE-2021-22600 en af_packet kaj CVE-2022-0185 en VFS), informoj estis publike malkaŝitaj (ĉi tiuj problemoj antaŭe estis identigitaj per Syzkaller kaj por korektoj estis aldonitaj al la kerno post du paneoj).
fonto: opennet.ru