Google ha annunciato un'espansione della sua iniziativa di ricompensa in denaro per identificare problemi di sicurezza nel kernel Linux, nella piattaforma di orchestrazione dei contenitori Kubernetes, in Google Kubernetes Engine (GKE) e nell'ambiente di competizione sulle vulnerabilità kCTF (Kubernetes Capture the Flag).
Il programma di premi include pagamenti bonus aggiuntivi di 20 dollari per le vulnerabilità 0-day, per gli exploit che non richiedono supporto per gli spazi dei nomi degli utenti e per la dimostrazione di nuovi metodi di sfruttamento. Il pagamento base per la dimostrazione di un exploit funzionante in kCTF è di $ 31337 (il pagamento base viene corrisposto al primo partecipante che dimostra un exploit funzionante, ma i pagamenti bonus possono essere applicati a exploit successivi per la stessa vulnerabilità).
In totale, tenendo conto dei bonus, la ricompensa massima per un exploit di 1 giorno (problemi identificati in base a un'analisi delle correzioni di bug nel codice base che non sono esplicitamente contrassegnati come vulnerabilità) può arrivare fino a $ 71337 (era $ 31337), e per un giorno 0 (problemi per i quali non esiste ancora una soluzione) - $ 91337 (invece di $ 50337). Il programma di pagamento sarà valido fino al 31 dicembre 2022.
Va osservato che negli ultimi tre mesi Google ha elaborato 9 richieste contenenti informazioni sulle vulnerabilità, per le quali sono stati pagati 175mila dollari. I ricercatori partecipanti hanno preparato cinque exploit per le vulnerabilità di 0 giorni e due per le vulnerabilità di 1 giorno. Per tre problemi già risolti nel kernel Linux (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet e CVE-2022-0185 in VFS), le informazioni sono state divulgate pubblicamente (questi problemi erano stati precedentemente identificati tramite Syzkaller e le correzioni sono state aggiunte al kernel dopo due guasti).
Fonte: opennet.ru