Google on ilmoittanut laajentavansa käteispalkkio-aloitettaan Linux-ytimen, Kubernetes-säilön orkestrointialustan, Google Kubernetes Enginen (GKE) ja kCTF (Kubernetes Capture the Flag) haavoittuvuuskilpailuympäristön tietoturvaongelmien tunnistamiseksi.
Palkinto-ohjelma sisältää ylimääräisiä 20 0 dollarin bonusmaksuja 31337-päivän haavoittuvuuksista, hyökkäyksistä, jotka eivät vaadi käyttäjien nimitilojen tukea, sekä uusien hyväksikäyttömenetelmien esittelystä. Perusmaksu toimivan hyväksikäytön osoittamisesta kCTF:ssä on XNUMX XNUMX dollaria (perusmaksu maksetaan ensimmäiselle osallistujalle, joka osoittaa toimivan hyväksikäytön, mutta bonusmaksuja voidaan soveltaa myöhempään hyväksikäyttöön samasta haavoittuvuudesta).
Kaiken kaikkiaan, bonukset huomioiden, maksimipalkkio 1 päivän hyväksikäytöstä (koodikannan virheenkorjausten analyysin perusteella tunnistetut ongelmat, joita ei ole nimenomaisesti merkitty haavoittuvuuksiksi) voi olla jopa 71337 31337 dollaria (0 91337 dollaria) ja 50337 päivältä (ongelmat, joita ei ole vielä korjattu) - 31 2022 dollaria (XNUMX XNUMX dollaria). Maksuohjelma on voimassa XNUMX asti.
On huomattava, että viimeisen kolmen kuukauden aikana Google on käsitellyt 9 hakemusta haavoittuvuuksista, joista maksettiin 175 tuhatta dollaria. Osallistuvat tutkijat valmistelivat viisi hyväksikäyttöä 0 päivän haavoittuvuuksille ja kaksi 1 päivän haavoittuvuuksille. Kolmesta Linux-ytimessä jo korjatusta ongelmasta (CVE-2021-4154 cgroup-v1:ssä, CVE-2021-22600 af_packetissa ja CVE-2022-0185 VFS:ssä) tiedot on julkistettu (nämä ongelmat oli aiemmin tunnistettu Syzkaller ja for fixes lisättiin ytimeen kahden hajoamisen jälkeen).
Lähde: opennet.ru