Viimaste kuude jooksul Google on pööranud erilist tähelepanu turvaprobleemidele leitud kernelist Linux ja KubernetesNagu eelmise aasta novembris, suurendas Google väljamaksete suurust, kuna ettevõte kolmekordistas Linuxi tuumas varem tundmatute vigade eest makstavad boonused.
Idee seisnes selles, et inimesed võiksid avastada uusi viise tuuma ärakasutamiseks, eriti seoses pilves töötava Kubernetesega. Google teatab nüüd, et veaotsingu programm on olnud edukas, kolme kuu jooksul on saadud üheksa aruannet ja teadlastele makstud rohkem kui 175,000 XNUMX dollarit.
Ja seda blogipostituse kaudu Google avaldas taas teate algatuse laiendamise kohta maksta rahalisi preemiaid turvaprobleemide tuvastamise eest Linuxi tuumas, Kubernetese konteineri orkestreerimisplatvormis, Google Kubernetes Engine'is (GKE) ja Kubernetes Capture the Flag (kCTF) haavatavuse konkurentsikeskkonnas.
Postituses mainitakse seda nüüd sisaldab preemiaprogramm lisaboonust 20,000 XNUMX dollarit nullpäeva turvaaukude eest, mis ei vaja kasutajanimeruumi tuge, ja uute ärakasutamistehnikate demonstreerimiseks.
Põhiväljamakse kCTF-is töötava ärakasutamise demonstreerimise eest on 31 337 dollarit (põhiväljamakse makstakse osalejale, kes esmakordselt demonstreerib töötavat ärakasutamist, kuid boonusmakseid saab rakendada järgmistele sama haavatavuse korral).
Suurendasime oma tasusid, sest mõistsime, et kogukonna tähelepanu köitmiseks peame oma preemiad vastama nende ootustele. Leiame, et laienemine on õnnestunud ja seetõttu soovime seda pikendada vähemalt aasta lõpuni (2022).
Viimase kolme kuu jooksul oleme saanud 9 esildist ja maksnud üle 175 000 dollari.
Väljaandes näeme seda kokku, võttes arvesse boonuseid, maksimaalne tasu ärakasutamise eest (probleemid, mis tuvastati koodibaasi veaparanduste analüüsi põhjal, mis ei ole otseselt haavatavustena märgitud) võib ulatuda kuni 71 337 dollarini (varem oli kõrgeim tasu 31 337 dollarit) ja nullpäeva probleemi eest (probleemid, millele pole veel lahendust) makstakse kuni 91,337 50,337 dollarit (varem oli kõrgeim tasu XNUMX XNUMX dollarit). Makseprogramm kehtib kuni 31.
On tähelepanuväärne, et viimase kolme kuu jooksul Google on töödelnud 9 taotlust cturvaaukude teabega, mille eest maksti 175 tuhat dollarit.
Osalevad teadlased valmistasid ette viis ärakasutamist nullpäevaste ja kaks ühepäevaste haavatavuste jaoks. Kolm Linuxi tuuma parandatud probleemi on avalikult avaldatud (CVE-1-2021 cgroup-v4154-s, CVE-1-2021 af_packetis ja CVE-22600-2022 VFS-is) (need probleemid on Syzkalleri kaudu juba tuvastatud ja kahe jaoks kernelile lisati veaparandused).
Need muudatused suurendavad mõnede 1-päevaste kasutuste arvu 71 337 dollarini (võrreldes 31 337 dollariga) ja annavad maksimaalse tasu ühe ekspluatatsiooni eest 91 337 dollarini (vs. 50 337 dollarit). Samuti maksame isegi duplikaatide eest vähemalt 20 000 dollarit, kui need demonstreerivad uudseid ärakasutamistehnikaid (0 dollari asemel). Siiski piirame ka ühe päeva preemiate arvu ühe versiooni/järgu kohta.
Igal kanalil on aastas 12–18 GKE väljalaset ja meil on eri kanalitel kaks gruppi, seega maksame põhipreemiaid 31 337 USD kuni 36 korda (boonuste piiranguta). Kuigi me ei eelda, et iga värskenduse puhul on kehtiv 1-päevane kohaletoimetamine, tahaksime kuulda teisiti.
Sellisena on teates mainitud, et maksete summa sõltub mitmest tegurist: kui leitud probleem on nullpäeva haavatavus, kui see nõuab privilegeeritud kasutajanimeruume, kui see kasutab mõnda uut ekspluateerimismeetodit. Kõigi nende punktidega kaasneb boonus $ 20,000, mis lõpuks tõstab tasu töötamise eest $ 91,337.
Lõpuks sKui olete huvitatud sellest rohkem teada saama Märkme kohta saate üksikasju vaadata algses postituses Järgmisel lingil.