Během posledních měsíců Google věnoval zvláštní pozornost bezpečnostním problémům nalezený v jádře Linux a KubernetesStejně jako v listopadu minulého roku Google zvýšil výši výplat, protože společnost ztrojnásobila odměny za zneužití za dříve neznámé chyby v linuxovém jádře.
Myšlenka byla, že lidé mohou objevit nové způsoby, jak využít jádro, zejména ve vztahu ke Kubernetes běžícím v cloudu. Google nyní hlásí, že program hledání chyb byl úspěšný, během tří měsíců obdržel devět zpráv a výzkumníkům vyplatil více než 175,000 XNUMX dolarů.
A to prostřednictvím příspěvku na blogu Google opět vydal oznámení o rozšíření iniciativy platit peněžní odměny za identifikaci bezpečnostních problémů v linuxovém jádře, platformě pro orchestraci kontejnerů Kubernetes, Google Kubernetes Engine (GKE) a prostředí soutěžení zranitelností Kubernetes Capture the Flag (kCTF).
V příspěvku je to zmíněno nyní program odměn zahrnuje další bonus 20,000 XNUMX USD za zero-day zranitelnosti pro exploity, které nevyžadují podporu uživatelského jmenného prostoru, a za demonstraci nových exploitových technik.
Základní výplata za předvedení pracovního exploitu na kCTF je 31 337 $ (základní výplata je udělena účastníkovi, který jako první předvede pracovní exploit, ale bonusové výplaty lze použít na následující exploity pro stejnou zranitelnost).
Zvýšili jsme naše odměny, protože jsme si uvědomili, že abychom upoutali pozornost komunity, musíme naše odměny sladit s jejich očekáváními. Expanzi považujeme za úspěšnou, a proto bychom ji rádi prodloužili minimálně do konce roku (2022).
Za poslední tři měsíce jsme obdrželi 9 příspěvků a dosud jsme zaplatili přes 175 000 $.
V publikaci to můžeme vidět celkový, s přihlédnutím k bonusům, maximální odměna za exploit (problémy zjištěné na základě analýzy oprav chyb v základně kódu, které nejsou výslovně označeny jako zranitelnosti) může dosáhnout až 71 337 $ (dříve byla nejvyšší odměna 31 337 $) a za zero-day problém (problémy, pro které zatím neexistuje řešení) se vyplácí až 91,337 50,337 $ (dříve byla nejvyšší odměna XNUMX XNUMX $). Platební program bude platný do 31. prosince 2022.
Je pozoruhodné, že v posledních třech měsících Google zpracoval 9 žádostí cs informacemi o zranitelnostech, za které bylo vyplaceno 175 tisíc dolarů.
Zúčastnění výzkumníci připravili pět exploitů pro zero-day zranitelnosti a dva pro 1-day zranitelnosti. Byly zveřejněny tři opravené problémy v jádře Linuxu (CVE-2021-4154 v cgroup-v1, CVE-2021-22600 v af_packet a CVE-2022-0185 ve VFS) (tyto problémy již byly identifikovány prostřednictvím Syzkaller a pro jádro byly přidány opravy pro dva problémy).
Tyto změny zvyšují některé 1denní exploity na 71 337 USD (oproti 31 337 USD) a činí maximální odměnu za jeden exploit 91 337 USD (oproti 50 337 USD). Zaplatíme i za duplikáty alespoň 20 000 USD, pokud předvedou nové techniky využívání (místo 0 USD). Omezíme však také počet odměn za 1 den na pouze jednu za verzi/sestavení.
Na každém kanálu je ročně 12–18 vydání GKE a máme dvě skupiny na různých kanálech, takže základní odměny ve výši 31 337 USD vyplatíme až 36krát (bez omezení na bonusy). I když neočekáváme, že každá aktualizace bude mít platnou 1denní přepravu, rádi bychom slyšeli opak.
Jako takové je v oznámení zmíněno, že součet plateb závisí na několika faktorech: pokud je nalezený problém zranitelností nultého dne, pokud vyžaduje neprivilegované uživatelské jmenné prostory, pokud používá nějaké nové způsoby využívání. Každý z těchto bodů přichází s bonusem $ 20,000, což v konečném důsledku zvyšuje platbu za pracovní exploit na $ 91,337.
Nakonec sPokud máte zájem dozvědět se o tom více o poznámce, podrobnosti si můžete zkontrolovat v původním příspěvku Na následujícím odkazu.