O Google anunciou uma expansão de sua iniciativa de recompensa em dinheiro para identificar problemas de segurança no kernel Linux, na plataforma de orquestração de contêineres Kubernetes, no Google Kubernetes Engine (GKE) e no ambiente de competição de vulnerabilidades kCTF (Kubernetes Capture the Flag).
O programa de recompensas inclui pagamentos de bônus adicionais de US$ 20 para vulnerabilidades de dia 0, para explorações que não exigem suporte para namespaces de usuários e para demonstração de novos métodos de exploração. O pagamento base para demonstrar uma exploração funcional no kCTF é de US$ 31337 (o pagamento base é feito ao primeiro participante que demonstrar uma exploração funcional, mas pagamentos de bônus podem ser aplicados a explorações subsequentes para a mesma vulnerabilidade).
No total, levando em conta os bônus, a recompensa máxima por uma exploração de 1 dia (problemas identificados com base em uma análise de correções de bugs na base de código que não são explicitamente marcados como vulnerabilidades) pode chegar a US$ 71337 (era US$ 31337), e para um dia 0 (problemas para os quais ainda não há solução) - $ 91337 (era $ 50337). O programa de pagamento será válido até 31 de dezembro de 2022.
Observa-se que nos últimos três meses, o Google processou 9 aplicativos com informações sobre vulnerabilidades, pelos quais foram pagos US$ 175 mil. Os pesquisadores participantes prepararam cinco explorações para vulnerabilidades de dia 0 e duas para vulnerabilidades de 1 dia. Para três problemas já corrigidos no kernel Linux (CVE-2021-4154 em cgroup-v1, CVE-2021-22600 em af_packet e CVE-2022-0185 em VFS), as informações foram divulgadas publicamente (esses problemas já haviam sido identificados anteriormente através Syzkaller e para correções foram adicionados ao kernel após duas falhas).
Fonte: opennet.ru