Компанія Google оголосила про розширення ініціативи з виплати грошових винагород за виявлення проблем з безпекою в ядрі Linux, платформі для оркестрування контейнерів Kubernetes, движку GKE (Google Kubernetes Engine) та оточенні для проведення змагань з пошуку вразливостей kCTF (Kubernetes Capture the Flag).
У програму винагород введені додаткові бонусні виплати розміром 20 тисяч доларів за 0-day ворожості, за експлоїти, що не вимагають включення підтримки простору імен ідентифікаторів користувачів (user namespaces) та за демонстрацію нових методів експлуатації. Базова виплата за демонстрацію в kCTF робочого експлоїту становить 31337 доларів (базова виплата здійснюється учаснику, першому продемонструвавши робочий експлоїт, але бонусні виплати можуть бути застосовані і для подальших експлоїтів для тієї ж уразливості).
У сумі з урахуванням бонусів максимальний розмір винагороди за 1-day експлоїт (проблеми, виявлені на основі аналізу виправлень помилок у кодовій базі, явно не помічених як уразливості) може сягати 71337 доларів (було $31337), а за 0-day (проблеми, для яких ще немає виправлення) - 91337 доларів (було $50337). Програма виплат діятиме до 31 грудня 2022 року.
Зазначається, що за минулі три місяці Google опрацював 9 заявок з інформацією про вразливості, за якими було виплачено 175 тисяч доларів. Дослідниками, що взяли участь, було підготовлено п'ять експлоїтів для 0-day уявзимостей і два для 1-day вразливостей. За трьома вже виправленими в ядрі Linux проблемами (CVE-2021-4154 у cgroup-v1, CVE-2021-22600 у af_packet та CVE-2022-0185 у VFS) інформація розкрита публічно (зазначені проблеми до цього вже були виявлені через Syzkaller двох пробоєм у ядро були додані виправлення).
Джерело: opennet.ru