Google ha annunciato l'espansione della sua iniziativa di premi per la segnalazione di problemi di sicurezza nel kernel di Linux, nella piattaforma di orchestrazione dei container Kubernetes, nel motore GKE (Google Kubernetes Engine) e nell'ambiente per le competizioni di ricerca di vulnerabilità kCTF (Kubernetes Capture the Flag).
Il programma di premi include aggiuntivi bonus di 20.000 dollari per le vulnerabilità zero-day, per exploit che non richiedono l'attivazione del supporto per gli spazi dei nomi degli identificatori utente (user namespaces) e per la dimostrazione di nuovi metodi di sfruttamento. Il premio base per la dimostrazione di un exploit funzionante in kCTF ammonta a 31.337 dollari (il premio base viene assegnato al partecipante che dimostra per primo un exploit funzionante, ma i bonus possono essere applicati anche per exploit successivi relativi alla stessa vulnerabilità).
In totale, considerando i bonus, l'importo massimo della ricompensa per un exploit di 1-day (problemi identificati attraverso l'analisi delle correzioni nel codice, non esplicitamente contrassegnati come vulnerabilità) può arrivare fino a 71.337 dollari (precedentemente 31.337 dollari), mentre per un exploit di 0-day (problemi per cui non esiste ancora una correzione) — 91.337 dollari (precedentemente 50.337 dollari). Il programma di ricompense sarà attivo fino al 31 dicembre 2022.
Si segnala che nei tre mesi scorsi Google ha elaborato 9 segnalazioni con informazioni su vulnerabilità, per le quali sono stati pagati 175.000 dollari. I ricercatori coinvolti hanno preparato cinque exploit per vulnerabilità di 0-day e due per vulnerabilità di 1-day. Le informazioni su tre problemi già risolti nel kernel Linux (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet e CVE-2022-0185 in VFS) sono state rese pubbliche (i problemi sono stati precedentemente identificati attraverso Syzkaller e per due di essi sono state aggiunte correzioni al kernel).
Fonte: opennet.ru
