Per pastaruosius mėnesius „Google“ ypatingą dėmesį skyrė saugumo problemoms rasta branduolyje Linux ir KubernetesKaip ir praėjusių metų lapkritį, „Google“ padidino išmokėjimų dydį, nes bendrovė trigubai padidino eksploatacines premijas už anksčiau nežinomas „Linux“ branduolio klaidas.
Idėja buvo ta, kad žmonės galėtų atrasti naujų būdų, kaip išnaudoti branduolį, ypač kalbant apie Kubernetes, veikiančią debesyje. „Google“ dabar praneša, kad klaidų paieškos programa buvo sėkminga – per tris mėnesius gautos devynios ataskaitos ir tyrėjams išmokėta daugiau nei 175,000 XNUMX USD.
Ir tai yra per tinklaraščio įrašą „Google“ vėl paskelbė pranešimą apie iniciatyvos išplėtimą mokėti piniginį atlygį už saugumo problemų nustatymą „Linux“ branduolyje, „Kubernetes“ konteinerių orkestravimo platformoje, „Google Kubernetes Engine“ (GKE) ir „Kubernetes Capture the Flag“ (kCTF) pažeidžiamumo konkurencijos aplinkoje.
Įraše tai minima dabar apdovanojimų programa apima papildomą premiją 20,000 XNUMX USD už nulinės dienos pažeidžiamumą, skirtą išnaudojimams, kuriems nereikia vartotojo vardų srities palaikymo, ir naujų išnaudojimo metodų demonstravimui.
Bazinė išmoka už darbinio išnaudojimo demonstravimą kCTF yra 31 337 USD (bazinė išmoka skiriama dalyviui, pirmą kartą pademonstravusiam darbinį išnaudojimą, tačiau premijos gali būti taikomos vėlesniems išnaudojimams už tą patį pažeidžiamumą).
Mes padidinome savo atlygį, nes supratome, kad norėdami atkreipti bendruomenės dėmesį, turime suderinti savo atlygį su jų lūkesčiais. Manome, kad plėtra buvo sėkminga, todėl norėtume ją pratęsti dar bent iki metų pabaigos (2022 m.).
Per pastaruosius tris mėnesius gavome 9 paraiškas ir iki šiol sumokėjome daugiau nei 175 000 USD.
Leidinyje tai matome iš viso, atsižvelgiant į premijas, maksimalus atlygis už išnaudojimą (problemos, nustatytos remiantis kodo bazėje esančių klaidų pataisymų analize, kurios nėra aiškiai pažymėtos kaip pažeidžiamumas) gali siekti iki 71 337 USD (anksčiau didžiausias atlygis buvo 31 337 USD), o už nulinės dienos problemą (problemas, kurioms dar nėra sprendimo) mokama iki 91,337 50,337 USD (anksčiau didžiausias atlygis buvo XNUMX XNUMX USD). Mokėjimo programa galios iki 31 m. gruodžio 2022 d.
Pažymėtina, kad per pastaruosius tris mėnesius „Google“ apdorojo 9 užklausas csu informacija apie pažeidžiamumus, už kuriuos sumokėta 175 tūkst.
Dalyvaujantys mokslininkai parengė penkis išnaudojimus nulinės dienos pažeidžiamumui ir du – 1 dienos pažeidžiamumui. Viešai buvo atskleistos trys ištaisytos „Linux“ branduolio problemos (CVE-2021-4154 cgroup-v1, CVE-2021-22600 af_packet ir CVE-2022-0185 VFS) (šios problemos jau buvo nustatytos per Syzkaller ir dviejose branduoliui buvo pridėti klaidų pataisymai).
Šie pakeitimai padidina kai kuriuos 1 dienos eksploatavimus iki 71 337 USD (palyginti su 31 337 USD), o maksimalus atlygis už vieną išnaudojimą sudaro 91 337 USD (palyginti su 50 337 USD). Taip pat sumokėsime net už dublikatus mažiausiai 20 000 USD, jei jie demonstruos naujus išnaudojimo būdus (vietoj 0 USD). Tačiau mes taip pat apribosime premijų skaičių už 1 dieną iki vienos versijos / versijos.
Kiekviename kanale yra 12–18 GKE leidimų per metus, o skirtinguose kanaluose turime dvi grupes, todėl bazinį 31 337 USD atlygį mokėsime iki 36 kartų (be premijų limito). Nors nesitikime, kad kiekvienas atnaujinimas bus pristatytas per 1 dieną, norėtume išgirsti kitaip.
Skelbime minima, kad mokėjimų suma priklauso nuo kelių faktorių: jei rasta problema yra nulinės dienos pažeidžiamumas, ar tam reikalingos neprivilegijuotos vartotojo vardų erdvės, ar naudojami kokie nors nauji išnaudojimo metodai. Kiekvienas iš šių taškų yra su premija $ 20,000, o tai galiausiai padidina mokėjimą už darbinį išnaudojimą $ 91,337.
Pagaliau sJei jus domina daugiau apie tai sužinoti apie pastabą galite patikrinti išsamią informaciją pradiniame įraše Šioje nuorodoje.