Google ilitangaza upanuzi wa mpango wa kulipa zawadi za pesa taslimu kwa kutambua masuala ya usalama katika kinu cha Linux, jukwaa la uandaaji wa kontena la Kubernetes, injini ya GKE (Google Kubernetes Engine) na mazingira magumu ya kCTF (Kubernetes Capture the Flag).
Mpango wa fadhila unajumuisha bonasi ya ziada ya $20 kwa udhaifu wa siku 0, kwa matumizi makubwa ambayo hayahitaji usaidizi wa nafasi za majina ya watumiaji (nafasi za majina ya watumiaji), na kwa kuonyesha mbinu mpya za unyonyaji. Malipo ya msingi kwa ajili ya kuonyesha matumizi mazuri katika kCTF ni $31337 (malipo ya msingi huenda kwa mshiriki ambaye kwanza anaonyesha matumizi mabaya ya kazi, lakini malipo ya bonasi yanaweza kutumika kwa matumizi yanayofuata kwa athari sawa).
Kwa jumla, kwa kuzingatia bonasi, malipo ya juu zaidi ya matumizi ya siku 1 (matatizo yaliyotambuliwa kulingana na uchanganuzi wa marekebisho ya hitilafu kwenye msingi wa msimbo ambayo hayajaalamishwa kama udhaifu) yanaweza kufikia $71337 (ilikuwa $31337), na kwa 0-siku (matatizo bado hayajarekebishwa) - $91337 (ilikuwa $50337). Mpango wa malipo utatumika hadi tarehe 31 Desemba 2022.
Imebainika kuwa katika kipindi cha miezi mitatu iliyopita, Google imeshughulikia maombi 9 yenye taarifa kuhusu udhaifu, ambayo dola elfu 175 zililipwa. Watafiti walioshiriki walitayarisha mambo matano ya ushujaa kwa ajili ya athari za siku 0 na mbili kwa udhaifu wa siku 1. Masuala matatu ambayo tayari yamewekwa kwenye kinu cha Linux (CVE-2021-4154 katika cgroup-v1, CVE-2021-22600 katika af_packet na CVE-2022-0185 katika VFS) yamefichuliwa hadharani (maswala haya tayari yametambuliwa kupitia Syzkaller na kwa marekebisho yaliongezwa kwenye kernel milipuko miwili).
Chanzo: opennet.ru