Google, Linux çekirdeği, Kubernetes konteyner düzenleme platformu, GKE (Google Kubernetes Engine) motoru ve kCTF (Kubernetes Bayrağı Yakala) güvenlik açığı rekabet ortamındaki güvenlik sorunlarının belirlenmesi için nakit ödül ödeme girişiminin genişletildiğini duyurdu.
Ödül programı, 20 günlük güvenlik açıkları, kullanıcı ad alanları (kullanıcı ad alanları) için destek gerektirmeyen istismarlar ve yeni yararlanma yöntemlerinin gösterilmesi için 0 ABD doları tutarında ek bir bonus içerir. kCTF'de çalışan bir istismarın kanıtlanması için temel ödeme 31337 $'dır (temel ödeme, çalışan bir istismarı ilk kez sergileyen katılımcıya gider, ancak bonus ödemeleri aynı güvenlik açığı için sonraki istismarlara da uygulanabilir).
Toplamda, bonuslar dikkate alındığında, 1 günlük bir istismar için maksimum ödül (kod tabanındaki açık bir şekilde güvenlik açığı olarak işaretlenmeyen hata düzeltmelerinin analizine dayanarak tanımlanan sorunlar) 71337 ABD Dolarına (31337 ABD Dolarıydı) kadar ulaşabilir ve 0 gün (sorunlar henüz çözülmedi) – 91337 Dolar (50337 Dolardı). Ödeme programı 31 Aralık 2022 tarihine kadar geçerli olacak.
Google'ın son üç ayda güvenlik açıklarıyla ilgili bilgi içeren 9 başvuruyu işleme aldığı ve bunun için 175 bin dolar ödendiği kaydedildi. Katılımcı araştırmacılar, 0 günlük güvenlik açıkları için beş, 1 günlük güvenlik açıkları için iki güvenlik açığı hazırladı. Linux çekirdeğinde halihazırda düzeltilmiş olan üç sorun (cgroup-v2021'de CVE-4154-1, af_packet'te CVE-2021-22600 ve VFS'de CVE-2022-0185) kamuya açıklanmıştır (bu sorunlar zaten Syzkaller aracılığıyla tanımlanmıştır ve Çekirdeğe iki arıza düzeltmesi eklendi).
Kaynak: opennet.ru