Google heeft een uitbreiding aangekondigd van zijn geldbeloningsinitiatief voor het identificeren van beveiligingsproblemen in de Linux-kernel, het Kubernetes-containerorkestratieplatform, de Google Kubernetes Engine (GKE) en de kCTF-concurrentieomgeving (Kubernetes Capture the Flag).
Het beloningsprogramma omvat extra bonusbetalingen van $20 voor 0-day-kwetsbaarheden, voor exploits waarvoor geen ondersteuning voor gebruikersnaamruimten vereist is, en voor het demonstreren van nieuwe exploitatiemethoden. De basisuitbetaling voor het demonstreren van een werkende exploit in kCTF bedraagt $31337 (de basisuitbetaling wordt gedaan aan de eerste deelnemer die een werkende exploit demonstreert, maar bonusuitbetalingen kunnen worden toegepast op volgende exploits voor dezelfde kwetsbaarheid).
In totaal kan, rekening houdend met bonussen, de maximale beloning voor een ééndaagse exploit (geïdentificeerde problemen op basis van een analyse van bugfixes in de codebasis die niet expliciet als kwetsbaarheid zijn gemarkeerd) oplopen tot $1 (was $71337), en voor een 31337-dag (problemen waarvoor nog geen oplossing bestaat) - $0 (was $91337). Het betalingsprogramma is geldig tot 50337 december 31.
Opgemerkt wordt dat Google de afgelopen drie maanden 9 aanvragen met informatie over kwetsbaarheden heeft verwerkt, waarvoor $ 175 is betaald. De deelnemende onderzoekers hebben vijf exploits voorbereid voor 0-day-kwetsbaarheden en twee voor 1-day-kwetsbaarheden. Voor drie problemen die al zijn opgelost in de Linux-kernel (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet en CVE-2022-0185 in VFS), is informatie openbaar gemaakt (deze problemen waren eerder geïdentificeerd via Syzkaller en voor reparaties zijn na twee storingen aan de kernel toegevoegd).
Bron: opennet.ru