Google a anunțat o extindere a inițiativei sale de recompense pentru securitatea kernelului. Linux, o platformă pentru orchestrarea containerelor Kubernetes, a motorului GKE (Google Kubernetes Engine) și a mediului de competiție pentru vulnerabilități kCTF (Kubernetes Capture the Flag).
Programul de recompense include plăți suplimentare bonus de 20 USD pentru vulnerabilități de 0 zile, pentru exploit-uri care nu necesită suport pentru spațiile de nume de utilizator și pentru demonstrarea unor noi metode de exploatare. Plata de bază pentru demonstrarea unui exploit funcțional în kCTF este de 31337 USD (plata de bază se face primului participant care demonstrează un exploit funcțional, dar plățile bonus pot fi aplicate exploit-urilor ulterioare pentru aceeași vulnerabilitate).
În total, ținând cont de bonusuri, recompensa maximă pentru un exploit de 1 zi (probleme identificate pe baza unei analize a remedierii erorilor din baza de cod care nu sunt marcate în mod explicit ca vulnerabilități) poate ajunge până la 71337 USD (era 31337 USD) și pentru o zi 0 (probleme pentru care nu există încă o remediere) - 91337 USD (era 50337 USD). Programul de plată va fi valabil până la 31 decembrie 2022.
Se observă că, în ultimele trei luni, Google a procesat nouă rapoarte de vulnerabilități, pentru care au fost plătiți 175.000 de dolari. Cercetătorii participanți au dezvoltat cinci exploit-uri pentru vulnerabilități zero-day și două pentru vulnerabilități one-day. Trei dintre acestea au fost deja actualizate în kernel. Linux Informațiile despre probleme (CVE-2021-4154 în cgroup-v1, CVE-2021-22600 în af_packet și CVE-2022-0185 în VFS) au fost făcute publice (aceste probleme fuseseră deja identificate prin Syzkaller, iar remedieri pentru două dintre ele fuseseră adăugate în kernel).
Sursa: opennet.ru
