Google ได้ประกาศการขยายโครงการริเริ่มการให้รางวัลเป็นเงินสดเพื่อระบุปัญหาด้านความปลอดภัยในเคอร์เนล Linux, แพลตฟอร์มการจัดการคอนเทนเนอร์ Kubernetes, Google Kubernetes Engine (GKE) และเฟรมเวิร์กการแข่งขันช่องโหว่ kCTF (Kubernetes Capture the Flag)
โปรแกรมรางวัลประกอบด้วยการจ่ายโบนัสเพิ่มเติม 20 ดอลลาร์สำหรับช่องโหว่ 0 วัน สำหรับการหาประโยชน์ที่ไม่ต้องการการสนับสนุนสำหรับเนมสเปซของผู้ใช้ และสำหรับการสาธิตวิธีการหาประโยชน์แบบใหม่ การจ่ายเงินพื้นฐานสำหรับการสาธิตช่องโหว่ที่ใช้งานได้จริงใน kCTF คือ 31337 ดอลลาร์ (การจ่ายเงินพื้นฐานจะจ่ายให้กับผู้เข้าร่วมคนแรกที่สาธิตช่องโหว่ที่ใช้งานได้ แต่การจ่ายโบนัสสามารถนำไปใช้กับช่องโหว่ที่ตามมาสำหรับช่องโหว่เดียวกันได้)
โดยรวมแล้ว เมื่อคำนึงถึงโบนัส รางวัลสูงสุดสำหรับการใช้ประโยชน์ใน 1 วัน (ปัญหาที่ระบุตามการวิเคราะห์การแก้ไขข้อบกพร่องในโค้ดฐานที่ไม่ได้ทำเครื่องหมายไว้อย่างชัดเจนว่าเป็นช่องโหว่) อาจสูงถึง 71337 ดอลลาร์ (จากเดิม 31337 ดอลลาร์) และ สำหรับ 0 วัน (ปัญหาที่ยังไม่มีการแก้ไข) - 91337 ดอลลาร์ (จากเดิม 50337 ดอลลาร์) โปรแกรมการชำระเงินจะใช้ได้จนถึงวันที่ 31 ธันวาคม 2022
มีข้อสังเกตว่าในช่วงสามเดือนที่ผ่านมา Google ได้ประมวลผลแอปพลิเคชัน 9 รายการพร้อมข้อมูลเกี่ยวกับช่องโหว่ ซึ่งจ่ายเงินไปแล้ว 175 ดอลลาร์ นักวิจัยที่เข้าร่วมได้เตรียมการหาช่องโหว่ 0 รายการสำหรับช่องโหว่ 1 วัน และอีก 2021 รายการสำหรับช่องโหว่ 4154 วัน สำหรับปัญหาสามประการที่ได้รับการแก้ไขแล้วในเคอร์เนล Linux (CVE-1-2021 ใน cgroup-v22600, CVE-2022-0185 ใน af_packet และ CVE-XNUMX-XNUMX ใน VFS) ข้อมูลได้รับการเปิดเผยต่อสาธารณะ (ปัญหาเหล่านี้เคยถูกระบุผ่าน Syzkaller และสำหรับการแก้ไขถูกเพิ่มเข้าไปในเคอร์เนลหลังจากการพังสองครั้ง)
ที่มา: opennet.ru