Google-ը հայտարարել է իր դրամական պարգևատրման նախաձեռնության ընդլայնման մասին՝ Linux-ի միջուկում, Kubernetes կոնտեյներների կազմակերպման հարթակում, Google Kubernetes Engine-ում (GKE) և kCTF (Kubernetes Capture the Flag) խոցելիության մրցույթի շրջանակներում անվտանգության խնդիրները հայտնաբերելու համար:
Պարգևատրման ծրագիրը ներառում է $20 հավելյալ բոնուսային վճարումներ 0-օրյա խոցելիության, օգտագործողների անունների տարածքների աջակցություն չպահանջող շահագործումների և շահագործման նոր մեթոդների ցուցադրման համար: kCTF-ում աշխատանքային շահագործումը ցուցադրելու համար բազային վճարումը կազմում է $31337 (բազային վճարումը կատարվում է առաջին մասնակցին, ով ցուցադրում է աշխատանքային շահագործումը, բայց բոնուսային վճարումները կարող են կիրառվել հաջորդ շահագործումների համար նույն խոցելիության համար):
Ընդհանուր առմամբ, հաշվի առնելով բոնուսները, 1-օրյա շահագործման համար առավելագույն պարգևատրումը (խնդիրները, որոնք հայտնաբերվել են կոդերի բազայում սխալների շտկման վերլուծության հիման վրա, որոնք հստակորեն նշված չեն որպես խոցելիություններ) կարող է հասնել մինչև $71337 (31337 դոլար) և 0 օրվա համար (խնդիրներ, որոնց լուծումը դեռ չկա) - 91337 դոլար (50337 դոլար էր): Վճարման ծրագիրը կգործի մինչև 31 թվականի դեկտեմբերի 2022-ը։
Նշվում է, որ վերջին երեք ամիսների ընթացքում Google-ը մշակել է խոցելիության մասին տեղեկություններով 9 հավելված, որոնց համար վճարվել է 175 հազար դոլար։ Մասնակից հետազոտողները պատրաստել են հինգ շահագործում 0-օրյա խոցելիության համար և երկուսը՝ 1-օրյա խոցելիության համար: Linux-ի միջուկում արդեն ֆիքսված երեք խնդիրների համար (CVE-2021-4154 cgroup-v1-ում, CVE-2021-22600 af_packet-ում և CVE-2022-0185 VFS-ում), տեղեկատվությունը հրապարակվել է (այդ խնդիրները նախկինում բացահայտվել են Syzkaller-ը և ուղղումների համար ավելացվել են միջուկին երկու խափանումներից հետո):
Source: opennet.ru