Google mengumumkan perluasan inisiatif pembayaran hadiah uang tunai untuk mengidentifikasi masalah keamanan di kernel Linux, platform orkestrasi container Kubernetes, lingkungan kompetisi kerentanan GKE (Google Kubernetes Engine), dan kCTF (Kubernetes Capture the Flag).
Program bounty mencakup bonus tambahan $20 untuk kerentanan 0 hari, untuk eksploitasi yang tidak memerlukan dukungan untuk ruang nama pengguna (user namespace), dan untuk mendemonstrasikan metode eksploitasi baru. Pembayaran dasar untuk mendemonstrasikan eksploitasi yang berhasil di kCTF adalah $31337 (pembayaran dasar diberikan kepada peserta yang pertama kali mendemonstrasikan eksploitasi yang berhasil, namun pembayaran bonus dapat diterapkan pada eksploitasi berikutnya untuk kerentanan yang sama).
Secara total, dengan mempertimbangkan bonus, imbalan maksimum untuk eksploitasi 1 hari (masalah yang diidentifikasi berdasarkan analisis perbaikan bug dalam basis kode yang tidak secara eksplisit ditandai sebagai kerentanan) dapat mencapai hingga $71337 (sebelumnya $31337), dan untuk 0 hari (masalah belum diperbaiki) - $91337 (sebelumnya $50337). Program pembayaran berlaku hingga 31 Desember 2022.
Tercatat, selama tiga bulan terakhir, Google telah memproses 9 aplikasi dengan informasi kerentanan, yang dibayar sebesar 175 ribu dolar. Para peneliti yang berpartisipasi menyiapkan lima eksploitasi untuk kerentanan 0 hari dan dua eksploitasi untuk kerentanan 1 hari. Untuk tiga masalah yang telah diperbaiki di kernel Linux (CVE-2021-4154 di cgroup-v1, CVE-2021-22600 di af_packet dan CVE-2022-0185 di VFS), informasi telah diungkapkan kepada publik (masalah yang terindikasi telah diidentifikasi melalui Syzkaller dan untuk perbaikan ditambahkan ke kernel dua kerusakan).
Sumber: opennet.ru