Google njoftoi zgjerimin e nismës për të paguar shpërblime në para për identifikimin e çështjeve të sigurisë në kernelin Linux, platformën e orkestrimit të kontejnerëve Kubernetes, motorin GKE (Google Kubernetes Engine) dhe mjedisin e konkurrencës për cenueshmërinë kCTF (Kubernetes Capture the Flag).
Programi i shpërblimeve përfshin një bonus shtesë prej 20 dollarësh për dobësitë 0-ditore, për shfrytëzime që nuk kërkojnë mbështetje për hapësirat e emrave të përdoruesve (hapësirat e emrave të përdoruesit) dhe për demonstrimin e metodave të reja të shfrytëzimit. Pagesa bazë për demonstrimin e një shfrytëzimi pune në kCTF është 31337 dollarë (pagesa bazë shkon te pjesëmarrësi që së pari demonstron një shfrytëzim pune, por pagesat e bonusit mund të aplikohen për shfrytëzimet e mëvonshme për të njëjtën dobësi).
Në total, duke marrë parasysh shpërblimet, shpërblimi maksimal për një shfrytëzim 1-ditor (problemet e identifikuara bazuar në analizën e rregullimeve të gabimeve në bazën e kodeve që nuk janë shënuar në mënyrë eksplicite si dobësi) mund të arrijë deri në 71337 dollarë (ishte 31337 dollarë) dhe për 0-ditore (problemet nuk janë rregulluar ende) - 91337 dollarë (ishte 50337 dollarë). Programi i pagesës do të jetë i vlefshëm deri më 31 dhjetor 2022.
Vihet re se gjatë tre muajve të fundit Google ka përpunuar 9 aplikacione me informacione për dobësi, për të cilat janë paguar 175 mijë dollarë. Studiuesit pjesëmarrës përgatitën pesë shfrytëzime për dobësitë 0-ditore dhe dy për dobësitë 1-ditore. Tre çështje të fiksuara tashmë në kernelin Linux (CVE-2021-4154 në cgroup-v1, CVE-2021-22600 në af_packet dhe CVE-2022-0185 në VFS) janë zbuluar publikisht (këto probleme tashmë janë identifikuar përmes Syzkaller dhe për korrigjimet iu shtuan kernelit dy avari).
Burimi: opennet.ru