Google anunciou a expansión da iniciativa para pagar recompensas en metálico por identificar problemas de seguridade no núcleo de Linux, a plataforma de orquestración de contedores Kubernetes, o motor GKE (Google Kubernetes Engine) e o ambiente de competencia de vulnerabilidades kCTF (Kubernetes Capture the Flag).
O programa de recompensas inclúe unha bonificación adicional de 20 dólares para vulnerabilidades de día 0, para exploits que non requiren soporte para espazos de nomes de usuario (espazos de nomes de usuario) e para demostrar novos métodos de explotación. O pago base para demostrar un exploit que funciona no kCTF é de 31337 $ (o pago base vai para o participante que primeiro demostre un exploit funcionando, pero pódense aplicar pagos de bonificación a exploits posteriores para a mesma vulnerabilidade).
En total, tendo en conta as bonificacións, a recompensa máxima por un exploit de 1 día (problemas identificados en función da análise de correccións de erros na base de código que non están marcados explícitamente como vulnerabilidades) pode chegar ata os 71337 dólares (era 31337 dólares), e por Día 0 (problemas aínda non solucionados): 91337 $ (antes 50337 $). O programa de pagamento terá vixencia ata o 31 de decembro de 2022.
Nótase que durante os últimos tres meses, Google procesou 9 aplicacións con información sobre vulnerabilidades, polas que se pagaron 175 mil dólares. Os investigadores participantes prepararon cinco exploits para vulnerabilidades de 0 días e dous para vulnerabilidades de 1 día. Tres problemas xa solucionados no núcleo de Linux (CVE-2021-4154 en cgroup-v1, CVE-2021-22600 en af_packet e CVE-2022-0185 en VFS) foron divulgados publicamente (estes problemas xa foron identificados a través de Syzkaller e para Engadíronse correccións ao núcleo dúas avarías).
Fonte: opennet.ru