Google ha anunciado una expansión de su iniciativa de recompensa en efectivo por identificar problemas de seguridad en el kernel de Linux, la plataforma de orquestación de contenedores Kubernetes, Google Kubernetes Engine (GKE) y el marco de competencia de vulnerabilidades kCTF (Kubernetes Capture the Flag).
El programa de recompensas incluye pagos de bonificación adicionales de 20 dólares por vulnerabilidades de día 0, por exploits que no requieren soporte para espacios de nombres de usuario y por demostrar nuevos métodos de explotación. El pago base por demostrar un exploit funcional en kCTF es de $31337 (el pago base se realiza al primer participante que demuestre un exploit funcional, pero los pagos de bonificación se pueden aplicar a exploits posteriores por la misma vulnerabilidad).
En total, teniendo en cuenta las bonificaciones, la recompensa máxima por un exploit de 1 día (problemas identificados basándose en un análisis de correcciones de errores en el código base que no están marcados explícitamente como vulnerabilidades) puede alcanzar hasta 71337 31337 dólares (en lugar de 0 91337 dólares), y para un día 50337 (problemas para los cuales aún no hay solución): $31 (antes $2022). El programa de pagos tendrá vigencia hasta el XNUMX de diciembre de XNUMX.
Cabe señalar que en los últimos tres meses Google procesó 9 solicitudes con información sobre vulnerabilidades, por las cuales se pagaron 175 mil dólares. Los investigadores participantes prepararon cinco exploits para vulnerabilidades de 0 días y dos para vulnerabilidades de 1 día. Para tres problemas ya solucionados en el kernel de Linux (CVE-2021-4154 en cgroup-v1, CVE-2021-22600 en af_packet y CVE-2022-0185 en VFS), se ha divulgado información públicamente (estos problemas se habían identificado previamente a través de Syzkaller y para correcciones se agregaron al kernel después de dos averías).
Fuente: opennet.ru