谷歌宣布扩大为发现Linux内核、Kubernetes容器编排平台、GKE(Google Kubernetes Engine)引擎和kCTF(Kubernetes Capture the Flag)漏洞竞赛环境中的安全问题而支付现金奖励的举措。
该赏金计划包括针对 20day 漏洞、不需要用户命名空间(usernamespace)支持的漏洞利用以及演示新的利用方法的额外 0 美元奖金。 在 kCTF 中演示有效利用的基本奖金为 31337 美元(基本奖金发放给首先演示有效利用的参与者,但奖金支出可应用于同一漏洞的后续利用)。
总的来说,考虑到奖金,1 天漏洞利用(根据对代码库中未明确标记为漏洞的错误修复的分析而识别的问题)的最高奖励可达 71337 美元(原价 31337 美元), 0 天(问题尚未修复)- 91337 美元(原价 50337 美元)。 付款计划有效期至 31 年 2022 月 XNUMX 日。
值得注意的是,过去三个月,谷歌已处理了9个含有漏洞信息的申请,并支付了175万美元。 参与研究的研究人员准备了五个针对 0day 漏洞的利用方法和两个针对 1day 漏洞的利用方法。 Linux 内核中已修复的三个问题(cgroup-v2021 中的 CVE-4154-1、af_packet 中的 CVE-2021-22600 和 VFS 中的 CVE-2022-0185)已被公开披露(这些问题已通过 Syzkaller 识别并用于修复已添加到内核中的两个故障)。
来源: opennet.ru