Viimeisten kuukausien aikana Google on kiinnittänyt erityistä huomiota tietoturvaongelmiin löytyy ytimestä Linux ja KubernetesKuten viime vuoden marraskuussa, Google kasvatti maksujen kokoa, kun yritys kolminkertaisti Linux-ytimen aiemmin tuntemattomien vikojen hyväksikäyttöpalkkiot.
Ajatuksena oli, että ihmiset voisivat löytää uusia tapoja hyödyntää ydintä, erityisesti pilvessä toimivan Kubernetesin suhteen. Google raportoi nyt, että vianetsintäohjelma on ollut menestys, sillä se on saanut yhdeksän raporttia kolmen kuukauden aikana ja maksanut yli 175,000 XNUMX dollaria tutkijoille.
Ja se tapahtuu blogikirjoituksen kautta Google julkaisi jälleen ilmoituksen aloitteen laajentamisesta maksaa käteispalkkioita turvallisuusongelmien tunnistamisesta Linux-ytimessä, Kubernetes-säilön suunnittelualustassa, Google Kubernetes Enginessä (GKE) ja Kubernetes Capture the Flag (kCTF) -haavoittuvuuksien kilpailuympäristössä.
Viesti mainitsee sen nyt palkinto-ohjelma sisältää lisäbonuksen 20,000 XNUMX dollaria nollapäivän haavoittuvuuksista hyökkäyksille, jotka eivät vaadi käyttäjän nimiavaruuden tukea, ja uusien hyväksikäyttötekniikoiden esittelyyn.
Peruspalkkio toimivan hyväksikäytön osoittamisesta kCTF:ssä on 31 337 dollaria (peruspalkkio myönnetään osallistujalle, joka ensimmäisenä osoittaa toimivan hyväksikäytön, mutta bonusmaksuja voidaan soveltaa myöhempään hyväksikäyttöön samasta haavoittuvuudesta).
Lisäsimme palkkioitamme, koska ymmärsimme, että saadaksemme yhteisön huomion meidän oli sovitettava palkkiomme heidän odotuksiinsa. Laajentuminen on mielestämme onnistunut, joten haluamme jatkaa sitä ainakin vuoden loppuun (2022).
Viimeisten kolmen kuukauden aikana olemme vastaanottaneet 9 palautetta ja maksaneet tähän mennessä yli 175 000 dollaria.
Julkaisussa voimme nähdä sen kaikki yhteensä, ottaen huomioon bonukset, maksimipalkkio hyväksikäytöstä (ongelmia, jotka on tunnistettu analysoimalla koodikannan virheenkorjauksia, joita ei ole nimenomaisesti merkitty haavoittuvuuksiksi) voi nousta jopa 71 337 dollariin (aiemmin korkein palkkio oli 31 337 dollaria), ja nollapäivän ongelmasta (ongelmista, joihin ei ole vielä ratkaisua) maksetaan jopa 91,337 50,337 dollaria (aiemmin korkein palkkio oli XNUMX XNUMX dollaria). Maksuohjelma on voimassa 31 asti.
On huomionarvoista, että viimeisen kolmen kuukauden aikana Google on käsitellyt 9 pyyntöä chaavoittuvuuksia koskevilla tiedoilla, joista maksettiin 175 tuhatta dollaria.
Osallistuvat tutkijat valmistelivat viisi hyväksikäyttöä nollapäivän haavoittuvuuksille ja kaksi yhden päivän haavoittuvuuksille. Kolme Linux-ytimen korjattua ongelmaa on julkistettu (CVE-1-2021 cgroup-v4154:ssä, CVE-1-2021 af_packetissa ja CVE-22600-2022 VFS:ssä) (nämä ongelmat on jo tunnistettu Syzkallerin kautta ja kahdelle bugikorjauksia lisättiin ytimeen).
Nämä muutokset lisäävät jotkin 1 päivän hyödyntämiset 71 337 dollariin (vs. 31 337 dollariin) ja maksimipalkkion yhdestä hyväksikäytöstä 91 337 dollaria (vs. 50 337 dollaria). Maksamme myös kaksoiskappaleista vähintään 20 000 dollaria, jos ne osoittavat uusia hyväksikäyttötekniikoita (0 dollarin sijaan). Rajoitamme kuitenkin myös yhden päivän palkintojen määrän vain yhteen versiota/versiota kohti.
Jokaisella kanavalla on 12-18 GKE-julkaisua vuodessa, ja meillä on kaksi ryhmää eri kanavilla, joten maksamme 31 337 USD:n peruspalkkiot jopa 36 kertaa (bonuksille ei ole rajoitusta). Vaikka emme odota jokaisen päivityksen olevan voimassa yhden päivän toimitusaikaa, haluaisimme kuulla toisin.
Sellaisenaan tiedotteessa mainitaan, että maksujen summa riippuu useista tekijöistä: jos löydetty ongelma on nollapäivän haavoittuvuus, vaatiiko se etuoikeutettujen käyttäjänimiavaruuksia, käyttääkö siinä jotain uusia hyödyntämismenetelmiä. Jokainen näistä pisteistä sisältää bonuksen $ 20,000, mikä lopulta nostaa maksua toimivasta hyväksikäytöstä 91,337 dollaria.
Lopuksi sJos olet kiinnostunut tietämään asiasta enemmän muistiinpanosta voit tarkistaa tiedot alkuperäisestä viestistä Seuraavassa linkissä.