Pada bulan-bulan terakhir Google telah memberi perhatian khusus kepada isu keselamatan terdapat dalam kernel Linux dan KubernetesSeperti pada November tahun lepas, Google meningkatkan saiz pembayaran apabila syarikat itu mengeksploitasikan tiga kali ganda ganjaran untuk pepijat yang tidak diketahui sebelum ini dalam kernel Linux.
Ideanya ialah orang boleh menemui cara baharu untuk mengeksploitasi kernel, khususnya berkaitan dengan Kubernetes yang berjalan dalam awan. Google kini melaporkan bahawa program mencari pepijat telah berjaya, menerima sembilan laporan dalam tiga bulan dan mengagihkan lebih daripada $175,000 kepada penyelidik.
Dan ia adalah melalui catatan blog Google sekali lagi mengeluarkan pengumuman tentang pengembangan inisiatif itu untuk membayar ganjaran tunai untuk mengenal pasti isu keselamatan dalam kernel Linux, platform orkestrasi kontena Kubernetes, Enjin Kubernetes Google (GKE) dan persekitaran persaingan kelemahan Kubernetes Capture the Flag (kCTF).
Jawatan itu menyebut bahawa kini program ganjaran termasuk bonus tambahan $20,000 untuk kelemahan sifar hari untuk eksploitasi yang tidak memerlukan sokongan ruang nama pengguna dan untuk menunjukkan teknik eksploitasi baharu.
Bayaran asas untuk menunjukkan eksploitasi kerja di kCTF ialah $31 (bayaran asas diberikan kepada peserta yang mula-mula menunjukkan eksploitasi kerja, tetapi pembayaran bonus boleh digunakan untuk eksploitasi berikutnya untuk kelemahan yang sama).
Kami meningkatkan ganjaran kami kerana kami menyedari bahawa untuk menarik perhatian masyarakat, kami perlu memadankan ganjaran kami dengan jangkaan mereka. Kami menganggap pengembangan itu telah berjaya, jadi kami ingin melanjutkannya sekurang-kurangnya sehingga akhir tahun (2022).
Sepanjang tiga bulan yang lalu, kami telah menerima 9 penyerahan dan membayar lebih $175 setakat ini.
Dalam penerbitan kita dapat melihatnya jumlah, mengambil kira bonus, ganjaran maksimum untuk eksploitasi (isu yang dikenal pasti berdasarkan analisis pembetulan pepijat dalam pangkalan kod yang tidak ditandakan secara jelas sebagai kelemahan) boleh mencecah sehingga $71 (sebelum ini ganjaran tertinggi ialah $31), dan untuk masalah sifar hari (masalah yang belum ada penyelesaian) sehingga $337 dibayar (sebelum ini ganjaran tertinggi ialah $91,337). Program pembayaran akan sah sehingga 31 Disember 2022.
Perlu diperhatikan bahawa dalam tiga bulan terakhir, Google telah memproses 9 permintaan cdengan maklumat tentang kelemahan, yang mana 175 ribu dolar telah dibayar.
Penyelidik yang mengambil bahagian menyediakan lima eksploitasi untuk kelemahan sifar hari dan dua untuk kelemahan 1 hari. Tiga isu tetap dalam kernel Linux telah didedahkan secara terbuka (CVE-2021-4154 dalam cgroup-v1, CVE-2021-22600 dalam af_packet dan CVE-2022-0185 dalam VFS) (isu ini telah dikenal pasti melalui Syzkaller dan untuk dua pembetulan pepijat telah ditambahkan pada kernel).
Perubahan ini meningkatkan beberapa eksploitasi 1 hari kepada $71 (berbanding $337) dan menjadikan ganjaran maksimum untuk eksploitasi tunggal $31 (berbanding $337). Kami juga akan membayar walaupun untuk pendua sekurang-kurangnya $91 jika mereka menunjukkan teknik eksploitasi baru (bukannya $337). Walau bagaimanapun, kami juga akan mengehadkan bilangan ganjaran selama 50 hari kepada hanya satu bagi setiap versi/binaan.
Terdapat 12-18 keluaran GKE setahun pada setiap saluran, dan kami mempunyai dua kumpulan pada saluran yang berbeza, jadi kami akan membayar ganjaran asas sebanyak 31 USD sehingga 337 kali (tiada had untuk bonus). Walaupun kami tidak menjangkakan setiap kemas kini mempunyai penghantaran 36 hari yang sah, kami ingin mendengar sebaliknya.
Oleh itu, dinyatakan dalam pengumuman bahawa jumlah pembayaran bergantung pada beberapa faktor: jika masalah yang ditemui ialah kerentanan sifar hari, jika ia memerlukan ruang nama pengguna yang tidak mempunyai keistimewaan, jika ia menggunakan beberapa kaedah eksploitasi baharu. Setiap mata ini disertakan dengan bonus sebanyak $ 20,000, yang akhirnya menaikkan bayaran untuk eksploitasi kerja kepada $ 91,337.
Akhirnya sSekiranya anda berminat untuk mengetahui lebih lanjut mengenainya tentang nota, anda boleh menyemak butiran di pos asal Dalam pautan berikut.