Google a annoncé l'extension de son programme de primes pour la sécurité du noyau. Linux, une plateforme pour orchestrer les conteneurs Kubernetes, le moteur GKE (Google Kubernetes Engine) et l'environnement de compétition de vulnérabilités kCTF (Kubernetes Capture the Flag).
Le programme de primes inclut désormais des bonus de 20 000 $ pour les vulnérabilités zero-day, les exploits ne nécessitant pas la prise en charge des espaces de noms utilisateur et les démonstrations de nouvelles méthodes d'exploitation. La prime de base pour la démonstration d'un exploit fonctionnel dans le cadre du kCTF est de 31 337 $ (elle est versée au premier participant à démontrer un exploit fonctionnel, mais des bonus peuvent également être attribués aux exploits ultérieurs pour la même vulnérabilité).
Au total, bonus inclus, la récompense maximale pour une faille de sécurité « 1 jour » (problèmes identifiés par l'analyse des correctifs dans le code source, non explicitement signalés comme vulnérabilités) peut atteindre 71 337 $ (contre 31 337 $ auparavant), et pour une faille « 0 jour » (problèmes pour lesquels aucun correctif n'est encore disponible), elle peut atteindre 91 337 $ (contre 50 337 $ auparavant). Ce programme de récompenses est valable jusqu'au 31 décembre 2022.
Il est à noter qu'au cours des trois derniers mois, Google a traité neuf rapports de vulnérabilité, pour lesquels 175 000 $ ont été versés. Les chercheurs participants ont développé cinq exploits pour des vulnérabilités zero-day et deux pour des vulnérabilités one-day. Trois d'entre eux ont déjà été corrigés dans le noyau. Linux Les informations concernant les problèmes (CVE-2021-4154 dans cgroup-v1, CVE-2021-22600 dans af_packet et CVE-2022-0185 dans VFS) ont été divulguées publiquement (ces problèmes avaient déjà été identifiés via Syzkaller, et des correctifs pour deux d'entre eux avaient été ajoutés au noyau).
Source: opennet.ru
