ะะพะผะฟะฐะฝะธั Google ะพะฑััะฒะธะปะฐ ะพ ัะฐััะธัะตะฝะธะธ ะธะฝะธัะธะฐัะธะฒั ะฟะพ ะฒัะฟะปะฐัะต ะดะตะฝะตะถะฝัั ะฒะพะทะฝะฐะณัะฐะถะดะตะฝะธะน ะทะฐ ะฒััะฒะปะตะฝะธะต ะฟัะพะฑะปะตะผ ั ะฑะตะทะพะฟะฐัะฝะพัััั ะฒ ัะดัะต Linux, ะฟะปะฐััะพัะผะต ะดะปั ะพัะบะตัััะพะฒะบะธ ะบะพะฝัะตะนะฝะตัะพะฒ Kubernetes, ะดะฒะธะถะบะต GKE (Google Kubernetes Engine) ะธ ะพะบััะถะตะฝะธะธ ะดะปั ะฟัะพะฒะตะดะตะฝะธั ัะพัะตะฒะฝะพะฒะฐะฝะธะน ะฟะพ ะฟะพะธัะบั ััะทะฒะธะผะพััะตะน kCTF (Kubernetes Capture the Flag).
ะ ะฟัะพะณัะฐะผะผั ะฒะพะทะฝะฐะณัะฐะถะดะตะฝะธะน ะฒะฒะตะดะตะฝั ะดะพะฟะพะปะฝะธัะตะปัะฝัะต ะฑะพะฝััะฝัะต ะฒัะฟะปะฐัั ัะฐะทะผะตัะพะผ 20 ััััั ะดะพะปะปะฐัะพะฒ ะทะฐ 0-day ััะฒะทะธะผะพััะธ, ะทะฐ ัะบัะฟะปะพะธัั ะฝะต ััะตะฑัััะธะต ะฒะบะปััะตะฝะธั ะฟะพะดะดะตัะถะบะธ ะฟัะพัััะฐะฝััะฒะฐ ะธะผัะฝ ะธะฝะดะตะฝัะธัะธะบะฐัะพัะพะฒ ะฟะพะปัะทะพะฒะฐัะตะปะตะน (user namespaces) ะธ ะทะฐ ะดะตะผะพะฝัััะฐัะธั ะฝะพะฒัั ะผะตัะพะดะพะฒ ัะบัะฟะปัะฐัะฐัะธะธ. ะะฐะทะพะฒะฐั ะฒัะฟะปะฐัะฐ ะทะฐ ะดะตะผะพะฝัััะฐัะธั ะฒ kCTF ัะฐะฑะพัะตะณะพ ัะบัะฟะปะพะธัะฐ ัะพััะฐะฒะปัะตั 31337 ะดะพะปะปะฐัะพะฒ (ะฑะฐะทะพะฒะฐั ะฒัะฟะปะฐัะฐ ะฟัะพะธะทะฒะพะดะธััั ััะฐััะฝะธะบั, ะฟะตัะฒะพะผั ะฟัะพะดะตะผะพะฝัััะธัะพะฒะฐะฒัะตะผั ัะฐะฑะพัะธะน ัะบัะฟะปะพะธั, ะฝะพ ะฑะพะฝััะฝัะต ะฒัะฟะปะฐัั ะผะพะณัั ะฑััั ะฟัะธะผะตะฝะตะฝั ะธ ะดะปั ะฟะพัะปะตะดัััะธั ัะบัะฟะปะพะธัะพะฒ ะดะปั ัะพะน ะถะต ััะทะฒะธะผะพััะธ).
ะ ััะผะผะต ั ััััะพะผ ะฑะพะฝััะพะฒ ะผะฐะบัะธะผะฐะปัะฝัะน ัะฐะทะผะตั ะฒะพะทะฝะฐะณัะฐะถะดะตะฝะธั ะทะฐ 1-day ัะบัะฟะปะพะธั (ะฟัะพะฑะปะตะผั, ะฒััะฒะปะตะฝะฝัะต ะฝะฐ ะพัะฝะพะฒะต ะฐะฝะฐะปะธะทะฐ ะธัะฟัะฐะฒะปะตะฝะธะน ะพัะธะฑะพะบ ะฒ ะบะพะดะพะฒะพะน ะฑะฐะทะต, ัะฒะฝะพ ะฝะต ะฟะพะผะตัะตะฝะฝัั ะบะฐะบ ััะทะฒะธะผะพััะธ) ะผะพะถะตั ะดะพั ะพะดะธัั ะดะพ 71337 ะดะพะปะปะฐัะพะฒ (ะฑัะปะพ $31337), ะฐ ะทะฐ 0-day (ะฟัะพะฑะปะตะผั, ะดะปั ะบะพัะพััั ะตัั ะฝะตั ะธัะฟัะฐะฒะปะตะฝะธั) โ 91337 ะดะพะปะปะฐัะพะฒ (ะฑัะปะพ $50337). ะัะพะณัะฐะผะผะฐ ะฒัะฟะปะฐั ะฑัะดะตั ะดะตะนััะฒะพะฒะฐัั ะดะพ 31 ะดะตะบะฐะฑัั 2022 ะณะพะดะฐ.
ะัะผะตัะฐะตััั, ััะพ ะทะฐ ะฟัะพัะปัะต ััะธ ะผะตัััะฐ Google ะพะฑัะฐะฑะพัะฐะป 9 ะทะฐัะฒะพะบ ั ะธะฝัะพัะผะฐัะธะตะน ะพะฑ ััะทะฒะธะผะพัััั
, ะฟะพ ะบะพัะพััะผ ะฑัะปะพ ะฒัะฟะปะฐัะตะฝะพ 175 ััััั ะดะพะปะปะฐัะพะฒ. ะัะธะฝัะฒัะธะผะธ ััะฐััะธะต ะธััะปะตะดะพะฒะฐัะตะปัะผะธ ะฑัะปะพ ะฟะพะดะณะพัะพะฒะปะตะฝะพ ะฟััั ัะบัะฟะปะพะธัะพะฒ ะดะปั 0-day ััะฒะทะธะผะพััะตะน ะธ ะดะฒะฐ ะดะปั 1-day ััะทะฒะธะผะพััะตะน. ะะพ ัััะผ ัะถะต ะธัะฟัะฐะฒะปะตะฝะฝัะผ ะฒ ัะดัะต Linux ะฟัะพะฑะปะตะผะฐะผ (CVE-2021-4154 ะฒ cgroup-v1, CVE-2021-22600 ะฒ af_packet ะธ CVE-2022-0185 ะฒ VFS) ะธะฝัะพัะผะฐัะธั ัะฐัะบัััะฐ ะฟัะฑะปะธัะฝะพ (ัะบะฐะทะฐะฝะฝัะต ะฟัะพะฑะปะตะผั ะดะพ ััะพะณะพ ัะถะต ะฑัะปะธ ะฒััะฒะปะตะฝั ัะตัะตะท Syzkaller ะธ ะดะปั ะดะฒัั
ะฟัะพะฑะพะตะผ ะฒ ัะดัะพ ะฑัะปะธ ะดะพะฑะฐะฒะปะตะฝั ะธัะฟัะฐะฒะปะตะฝะธั).
เด
เดตเดฒเดเดฌเด: opennet.ru