گوگل از گسترش ابتکار عمل برای پرداخت پاداش های نقدی برای شناسایی مسائل امنیتی در هسته لینوکس، پلت فرم هماهنگ سازی کانتینر Kubernetes، موتور GKE (Google Kubernetes Engine) و محیط رقابت آسیب پذیری kCTF (Kubernetes Capture the Flag) خبر داد.
برنامه Bounty شامل یک جایزه 20 دلاری اضافی برای آسیبپذیریهای 0 روزه، برای سوء استفادههایی که نیازی به پشتیبانی از فضای نام کاربری (فضای نام کاربری) ندارند، و برای نمایش روشهای جدید بهرهبرداری است. پرداخت پایه برای نمایش یک اکسپلویت کاری در kCTF 31337 دلار است (پرداخت پایه به شرکت کننده ای تعلق می گیرد که برای اولین بار یک اکسپلویت کاری را نشان می دهد، اما پرداخت پاداش می تواند برای اکسپلویت های بعدی برای همان آسیب پذیری اعمال شود).
در مجموع، با در نظر گرفتن پاداشها، حداکثر پاداش برای بهرهبرداری 1 روزه (مشکلات شناسایی شده بر اساس تجزیه و تحلیل رفع اشکال در پایگاه کد که به صراحت به عنوان آسیبپذیری مشخص نشدهاند) میتواند به 71337 دلار (31337 دلار) برسد و برای 0 روزه (مشکلات هنوز برطرف نشده است) - 91337 دلار (50337 دلار بود). برنامه پرداخت تا 31 دسامبر 2022 معتبر خواهد بود.
خاطرنشان میشود که طی سه ماه گذشته، گوگل 9 اپلیکیشن حاوی اطلاعات آسیبپذیری را پردازش کرده است که برای آنها 175 هزار دلار پرداخت شده است. محققان شرکتکننده پنج اکسپلویت برای آسیبپذیریهای 0 روزه و دو مورد برای آسیبپذیریهای یک روزه آماده کردند. سه مشکل که قبلاً در هسته لینوکس رفع شده بودند (CVE-1-2021 در cgroup-v4154، CVE-1-2021 در af_packet و CVE-22600-2022 در VFS) به طور عمومی افشا شده اند (این مشکلات قبلاً از طریق Syzkaller و برای اصلاحات دو شکست به هسته اضافه شد).
منبع: opennet.ru