Google je najavio proširenje svoje inicijative za nagradu za sigurnost kernela. Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для проведения соревнований по поиску уязвимостей kCTF (Kubernetes Capture the Flag).
Program nagrađivanja uključuje dodatne isplate bonusa od 20 USD za 0-dnevne ranjivosti, za eksploatacije koje ne zahtijevaju podršku za korisničke imenske prostore i za demonstraciju novih metoda eksploatacije. Osnovna isplata za demonstraciju rada exploita u kCTF-u iznosi 31337 USD (osnovna isplata se daje prvom sudioniku koji demonstrira rad exploit-a, ali bonus isplate mogu se primijeniti na sljedeće exploite za istu ranjivost).
Ukupno, uzimajući u obzir bonuse, maksimalna nagrada za 1-dnevni exploit (problemi identificirani na temelju analize ispravki grešaka u bazi koda koji nisu eksplicitno označeni kao ranjivosti) može doseći do 71337 USD (bilo je 31337 USD), a za 0 dana (problemi za koje još nema rješenja) - 91337 $ (bilo je 50337 $). Program plaćanja vrijedit će do 31. prosinca 2022.
Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей и два для 1-day уязвимостей. По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух пробоем в ядро были добавлены исправления).
Izvor: opennet.ru
