Inanunsyo ng Google ang pagpapalawak ng inisyatiba na magbayad ng cash reward para sa pagtukoy ng mga isyu sa seguridad sa Linux kernel, ang Kubernetes container orchestration platform, ang GKE (Google Kubernetes Engine) engine at ang kCTF (Kubernetes Capture the Flag) vulnerability competition environment.
Ang bounty program ay may kasamang karagdagang $20 na bonus para sa 0-araw na mga kahinaan, para sa mga pagsasamantala na hindi nangangailangan ng suporta para sa mga namespace ng user (user namespaces), at para sa pagpapakita ng mga bagong paraan ng pagsasamantala. Ang base payout para sa pagpapakita ng working exploit sa kCTF ay $31337 (ang batayang payout ay mapupunta sa kalahok na unang nagpakita ng working exploit, ngunit ang bonus payout ay maaaring ilapat sa mga susunod na exploit para sa parehong kahinaan).
Sa kabuuan, kung isasaalang-alang ang mga bonus, ang maximum na reward para sa isang 1-araw na pagsasamantala (mga problemang natukoy batay sa pagsusuri ng mga pag-aayos ng bug sa codebase na hindi tahasang minarkahan bilang mga kahinaan) ay maaaring umabot ng hanggang $71337 (ay $31337), at para sa 0-araw (hindi pa naaayos ang mga problema) - $91337 (na noon ay $50337). Ang programa sa pagbabayad ay magiging wasto hanggang Disyembre 31, 2022.
Napansin na sa nakalipas na tatlong buwan, nagproseso ang Google ng 9 na aplikasyon na may impormasyon tungkol sa mga kahinaan, kung saan binayaran ang 175 libong dolyar. Ang mga kalahok na mananaliksik ay naghanda ng limang pagsasamantala para sa 0-araw na mga kahinaan at dalawa para sa 1-araw na mga kahinaan. Tatlong isyu na naayos na sa kernel ng Linux (CVE-2021-4154 sa cgroup-v1, CVE-2021-22600 sa af_packet at CVE-2022-0185 sa VFS) ang naihayag sa publiko (ang mga isyung ito ay natukoy na sa pamamagitan ng Syzkaller at para sa Ang mga pag-aayos ay idinagdag sa kernel ng dalawang pagkasira).
Pinagmulan: opennet.ru