Google je napovedal razširitev pobude za plačilo denarnih nagrad za odkrivanje varnostnih težav v jedru Linuxa, platformi za orkestracijo vsebnikov Kubernetes, motorju GKE (Google Kubernetes Engine) in tekmovalnem okolju ranljivosti kCTF (Kubernetes Capture the Flag).
Program nagrad vključuje dodatnih 20 $ bonusa za 0-dnevne ranljivosti, za izkoriščanja, ki ne zahtevajo podpore za uporabniške imenske prostore (uporabniški imenski prostori), in za predstavitev novih metod izkoriščanja. Osnovno izplačilo za prikaz delujočega izkoriščanja v kCTF znaša 31337 $ (osnovno izplačilo prejme udeleženec, ki prvi pokaže delujoče izkoriščanje, vendar se lahko dodatna izplačila uporabijo za naslednje izkoriščanje za isto ranljivost).
Skupno lahko z upoštevanjem bonusov največja nagrada za 1-dnevno izkoriščanje (težave, ugotovljene na podlagi analize popravkov hroščev v kodni bazi, ki niso izrecno označene kot ranljivosti) doseže do 71337 $ (prej 31337 $) in za 0-dnevni (težave še niso odpravljene) - 91337 $ (prej 50337 $). Plačilni program bo veljal do 31. decembra 2022.
Opozoriti je treba, da je Google v zadnjih treh mesecih obdelal 9 aplikacij z informacijami o ranljivostih, za katere je bilo plačanih 175 tisoč dolarjev. Sodelujoči raziskovalci so pripravili pet izkoriščanj za 0-dnevne ranljivosti in dva za 1-dnevne ranljivosti. Tri težave, ki so že odpravljene v jedru Linuxa (CVE-2021-4154 v cgroup-v1, CVE-2021-22600 v af_packet in CVE-2022-0185 v VFS), so bile javno razkrite (te težave so bile že odkrite prek Syzkallerja in za popravki so bili dodani jedru dve okvari).
Vir: opennet.ru