Googleは、Linuxカーネル、Kubernetesコンテナオーケストレーションプラットフォーム、GKE(Google Kubernetes Engine)エンジン、kCTF(Kubernetes Capture the Flag)脆弱性競争環境におけるセキュリティ問題を特定した場合に現金で報奨金を支払う取り組みの拡大を発表した。
この報奨金プログラムには、ゼロデイ脆弱性、ユーザー名前空間 (ユーザー名前空間) のサポートを必要としないエクスプロイト、および新しい悪用方法のデモンストレーションに対して、さらに 20 ドルのボーナスが含まれています。 kCTF で機能するエクスプロイトをデモンストレーションする場合の基本支払いは 0 ドルです (基本支払いは、最初に機能するエクスプロイトをデモンストレーションした参加者に支払われますが、ボーナス支払いは同じ脆弱性に対する後続のエクスプロイトに適用できます)。
ボーナスを考慮すると、合計で、1 日のエクスプロイト (脆弱性として明示的にマークされていないコードベースのバグ修正の分析に基づいて特定された問題) の最大報酬は、最大 71337 ドル (以前は 31337 ドル) に達する可能性があります。 0 日 (問題はまだ解決されていない) - 91337 ドル (以前は 50337 ドル)。 支払いプログラムは 31 年 2022 月 XNUMX 日まで有効です。
過去 9 か月間に、Google は脆弱性に関する情報を含む 175 件の申請を処理し、その対価として 0 ドルが支払われたことが注目されています。 参加した研究者は、1 デイ脆弱性に対して 2021 つのエクスプロイト、4154 デイ脆弱性に対して 1 つのエクスプロイトを用意しました。 Linux カーネルですでに修正されている 2021 つの問題 (cgroup-v22600 の CVE-2022-0185、af_packet の CVE-XNUMX-XNUMX、および VFS の CVE-XNUMX-XNUMX) が公開されました (これらの問題は、Syzkaller を通じてすでに特定されており、カーネル XNUMX つの内訳に修正が追加されました)。
出所: オープンネット.ru