Google je najavio proširenje svoje inicijative za novčane nagrade za identificiranje sigurnosnih problema u Linux kernelu, Kubernetes platformi za orkestraciju spremnika, Google Kubernetes Engine (GKE) i kCTF (Kubernetes Capture the Flag) okruženju natjecanja ranjivosti.
Program nagrađivanja uključuje dodatne isplate bonusa od 20 USD za 0-dnevne ranjivosti, za eksploatacije koje ne zahtijevaju podršku za korisničke imenske prostore i za demonstraciju novih metoda eksploatacije. Osnovna isplata za demonstraciju rada exploita u kCTF-u iznosi 31337 USD (osnovna isplata se daje prvom sudioniku koji demonstrira rad exploit-a, ali bonus isplate mogu se primijeniti na sljedeće exploite za istu ranjivost).
Ukupno, uzimajući u obzir bonuse, maksimalna nagrada za 1-dnevni exploit (problemi identificirani na temelju analize ispravki grešaka u bazi koda koji nisu eksplicitno označeni kao ranjivosti) može doseći do 71337 USD (bilo je 31337 USD), a za 0 dana (problemi za koje još nema rješenja) - 91337 $ (bilo je 50337 $). Program plaćanja vrijedit će do 31. prosinca 2022.
Napominje se da je u posljednja tri mjeseca Google obradio 9 aplikacija s informacijama o ranjivostima, za koje je plaćeno 175 tisuća dolara. Istraživači koji su sudjelovali pripremili su pet exploita za 0-dnevne ranjivosti i dva za 1-dnevne ranjivosti. Za tri problema koji su već riješeni u Linux kernelu (CVE-2021-4154 u cgroup-v1, CVE-2021-22600 u af_packet i CVE-2022-0185 u VFS-u), informacije su javno objavljene (ovi problemi su prethodno identificirani putem Syzkaller i za popravke dodani su jezgri nakon dva kvara).
Izvor: opennet.ru