Google on teatanud oma kerneli turvapreemia algatuse laiendamisest. Linux, platvorm Kubernetes konteinerite, GKE (Google Kubernetes Engine) mootori ja kCTF (Kubernetes Capture the Flag) haavatavuste võistluskeskkonna orkestreerimiseks.
Preemiaprogramm sisaldab nüüd 20 000 dollari suuruseid boonuseid nullpäeva haavatavuste, kasutajanimeruumi tuge mittevajavate ärakasutamise ja uute ärakasutamismeetodite demonstratsioonide eest. Baasmakse toimiva ärakasutamise demonstreerimise eest kCTF-is on 31 337 dollarit (baasmakse läheb esimesele osalejale, kes demonstreerib toimivat ärakasutamist, kuid boonuseid saab rakendada ka sama haavatavuse järgnevate ärakasutamise eest).
Kokku, boonused kaasa arvatud, võib ühepäevase ärakasutamise (probleemid, mis tuvastatakse koodibaasis olevate vigade paranduste analüüsi käigus ja mida ei ole otseselt haavatavustena märgitud) maksimaalne preemia ulatuda 71 337 dollarini (varem 31 337 dollarit) ja 0-päevase ärakasutamise (probleemid, millele pole veel parandust) maksimaalne preemia ulatuda 91 337 dollarini (varem 50 337 dollarit). Preemiaprogramm kestab kuni 31. detsembrini 2022.
Märgitakse, et viimase kolme kuu jooksul on Google töödelnud üheksa haavatavuse aruannet, mille eest maksti välja 175 000 dollarit. Osalevad teadlased töötasid välja viis nullpäeva ja kaks ühepäeva haavatavuste ärakasutamist. Kolm neist on juba kernelis parandatud. Linux Probleemide (CVE-2021-4154 cgroup-v1-s, CVE-2021-22600 af_packet'is ja CVE-2022-0185 VFS-is) kohta on teavet avalikustatud (need probleemid olid Syzkalleri kaudu juba tuvastatud ja kahele neist olid kerneli lisatud parandused).
Allikas: opennet.ru
