Google a annoncé l'expansion de l'initiative visant à payer des récompenses en espèces pour l'identification des problèmes de sécurité dans le noyau Linux, la plate-forme d'orchestration de conteneurs Kubernetes, le moteur GKE (Google Kubernetes Engine) et l'environnement de compétition de vulnérabilités kCTF (Kubernetes Capture the Flag).
Le programme de primes comprend un bonus supplémentaire de 20 0 $ pour les vulnérabilités de 31337 jour, pour les exploits qui ne nécessitent pas de prise en charge des espaces de noms d'utilisateur (espaces de noms d'utilisateur) et pour la démonstration de nouvelles méthodes d'exploitation. Le paiement de base pour la démonstration d'un exploit fonctionnel dans le kCTF est de XNUMX XNUMX $ (le paiement de base va au participant qui démontre en premier un exploit fonctionnel, mais les paiements bonus peuvent être appliqués aux exploits ultérieurs pour la même vulnérabilité).
Au total, en tenant compte des bonus, la récompense maximale pour un exploit d'un jour (problèmes identifiés sur la base de l'analyse des corrections de bogues dans la base de code qui ne sont pas explicitement marquées comme vulnérabilités) peut atteindre jusqu'à 1 71337 $ (au lieu de 31337 0 $), et pour 91337 jour (problèmes non encore résolus) – 50337 31 $ (au lieu de 2022 XNUMX $). Le programme de paiement sera valable jusqu'au XNUMX décembre XNUMX.
Il est à noter qu'au cours des trois derniers mois, Google a traité 9 demandes contenant des informations sur des vulnérabilités, pour lesquelles 175 0 dollars ont été payés. Les chercheurs participants ont préparé cinq exploits pour les vulnérabilités de 1 jour et deux pour les vulnérabilités de 2021 jour. Trois problèmes déjà résolus dans le noyau Linux (CVE-4154-1 dans cgroup-v2021, CVE-22600-2022 dans af_packet et CVE-0185-XNUMX dans VFS) ont été divulgués publiquement (ces problèmes ont déjà été identifiés via Syzkaller et pour des correctifs ont été ajoutés au noyau (deux pannes).
Source: opennet.ru