Linux కెర్నల్, Kubernetes కంటైనర్ ఆర్కెస్ట్రేషన్ ప్లాట్ఫారమ్, GKE (Google Kubernetes ఇంజిన్) ఇంజిన్ మరియు kCTF (కుబెర్నెట్స్ క్యాప్చర్ ది ఫ్లాగ్) వల్నరబిలిటీ పోటీ వాతావరణంలో భద్రతా సమస్యలను గుర్తించడం కోసం నగదు రివార్డ్లను చెల్లించే చొరవను Google విస్తరిస్తున్నట్లు ప్రకటించింది.
20-రోజుల దుర్బలత్వాల కోసం, వినియోగదారు నేమ్స్పేస్లకు (యూజర్ నేమ్స్పేస్లు) మద్దతు అవసరం లేని దోపిడీల కోసం మరియు కొత్త దోపిడీ పద్ధతులను ప్రదర్శించడం కోసం బౌంటీ ప్రోగ్రామ్లో అదనంగా $0 బోనస్ ఉంటుంది. kCTFలో వర్కింగ్ ఎక్స్ప్లోయిట్ని ప్రదర్శించడానికి బేస్ పేఅవుట్ $31337 (బేస్ పేఅవుట్ అనేది మొదట పని చేసే దోపిడీని ప్రదర్శించే పార్టిసిపెంట్కు వెళుతుంది, అయితే అదే దుర్బలత్వం కోసం తదుపరి దోపిడీలకు బోనస్ చెల్లింపులు వర్తించవచ్చు).
మొత్తంగా, ఖాతా బోనస్లను పరిగణనలోకి తీసుకుంటే, 1-రోజుల దోపిడీకి గరిష్ట రివార్డ్ (కోడ్బేస్లోని బగ్ పరిష్కారాల విశ్లేషణ ఆధారంగా గుర్తించబడిన సమస్యలు స్పష్టంగా దుర్బలత్వంగా గుర్తించబడనివి) $71337 ($31337) వరకు చేరవచ్చు మరియు దీని కోసం 0-రోజు (సమస్యలు ఇంకా పరిష్కరించబడలేదు) - $91337 ($50337). చెల్లింపు కార్యక్రమం డిసెంబర్ 31, 2022 వరకు చెల్లుబాటు అవుతుంది.
గత మూడు నెలల్లో, Google దుర్బలత్వాల గురించిన సమాచారంతో 9 అప్లికేషన్లను ప్రాసెస్ చేసింది, దీని కోసం 175 వేల డాలర్లు చెల్లించబడ్డాయి. పాల్గొనే పరిశోధకులు 0-రోజుల దుర్బలత్వాల కోసం ఐదు దోపిడీలను మరియు 1-రోజు దుర్బలత్వాల కోసం రెండు దోపిడీలను సిద్ధం చేశారు. Linux కెర్నల్లో ఇప్పటికే పరిష్కరించబడిన మూడు సమస్యలు (cgroup-v2021లో CVE-4154-1, af_packetలో CVE-2021-22600 మరియు VFSలో CVE-2022-0185) బహిరంగంగా బహిర్గతం చేయబడ్డాయి (ఈ సమస్యలు ఇప్పటికే Syzkaller ద్వారా గుర్తించబడ్డాయి మరియు గుర్తించబడ్డాయి కెర్నల్ రెండు బ్రేక్డౌన్లకు పరిష్కారాలు జోడించబడ్డాయి).
మూలం: opennet.ru