De afgelopen maanden Google heeft speciale aandacht besteed aan beveiligingsproblemen gevonden in de kernel Linux en KubernetesNet als in november vorig jaar verhoogde Google de omvang van de uitbetalingen toen het bedrijf de exploitatiepremies voor voorheen onbekende bugs in de Linux-kernel verdrievoudigde.
Het idee was dat mensen nieuwe manieren konden ontdekken om de kernel te exploiteren, vooral met betrekking tot Kubernetes die in de cloud draait. Google meldt nu dat het programma voor het opsporen van fouten een succes is geweest, negen rapporten in drie maanden heeft ontvangen en meer dan $ 175,000 aan onderzoekers heeft uitbetaald.
En dat is via een blogpost Google bracht opnieuw een aankondiging uit over de uitbreiding van het initiatief om contante beloningen te betalen voor het identificeren van beveiligingsproblemen in de Linux-kernel, Kubernetes-containerorkestratieplatform, Google Kubernetes Engine (GKE) en Kubernetes Capture the Flag (kCTF) kwetsbaarheidsconcurrentieomgeving.
Het bericht vermeldt dat nu bevat het beloningsprogramma een extra bonus $ 20,000 voor zero-day-kwetsbaarheden voor exploits waarvoor geen gebruikersnaamruimte-ondersteuning nodig is en voor het demonstreren van nieuwe exploit-technieken.
De basisuitbetaling voor het aantonen van een werkende exploit bij de kCTF is $ 31 (de basisuitbetaling wordt toegekend aan de deelnemer die als eerste een werkende exploit demonstreert, maar bonusuitbetalingen kunnen worden toegepast op volgende exploits voor dezelfde kwetsbaarheid).
We hebben onze beloningen verhoogd omdat we erkenden dat we, om de aandacht van de gemeenschap te trekken, onze beloningen moesten afstemmen op hun verwachtingen. Wij beschouwen de uitbreiding als een succes en willen deze dan ook graag verlengen tot in ieder geval het einde van het jaar (2022).
In de afgelopen drie maanden hebben we 9 inzendingen ontvangen en tot nu toe meer dan $ 175 betaald.
In de publicatie zien we dat totaal, rekening houdend met de bonussen, de maximale beloning voor een exploit (problemen geïdentificeerd op basis van analyse van bugfixes in de codebase die niet expliciet zijn gemarkeerd als kwetsbaarheden) kan oplopen tot $ 71 (voorheen was de hoogste beloning $ 31), en voor een zero-day-probleem (problemen waarvoor nog geen oplossing is) wordt tot $ 337 betaald (voorheen was de hoogste beloning $ 91,337). Het betalingsprogramma is geldig tot 31 december 2022.
Opmerkelijk is dat in de afgelopen drie maanden Google heeft 9 verzoeken verwerkt cmet informatie over kwetsbaarheden, waarvoor 175 duizend dollar is betaald.
Deelnemende onderzoekers hebben vijf exploits voorbereid voor zero-day kwetsbaarheden en twee voor 1-day kwetsbaarheden. Drie opgeloste problemen in de Linux-kernel zijn openbaar gemaakt (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet en CVE-2022-0185 in VFS) (deze problemen zijn al geïdentificeerd via Syzkaller en voor kernel fixes zijn toegevoegd voor twee problemen).
Deze veranderingen verhogen sommige exploits van één dag tot $ 1 (vs. $ 71) en maken de maximale beloning voor een enkele exploit $ 337 (vs. $ 31). We betalen zelfs voor duplicaten minstens $ 337 als ze nieuwe exploittechnieken demonstreren (in plaats van $ 91). We zullen echter ook het aantal beloningen voor 337 dag beperken tot slechts één per versie/build.
Er zijn 12-18 GKE-releases per jaar op elk kanaal en we hebben twee groepen op verschillende kanalen, dus we betalen de basisbeloningen van 31 USD tot 337 keer uit (geen limiet voor bonussen). Hoewel we niet verwachten dat elke update een geldige levering van 36 dag heeft, horen we graag anders.
Als zodanig wordt in de aankondiging vermeld dat de som van de betalingen afhankelijk is van verschillende factoren: als het gevonden probleem een ​​zero-day kwetsbaarheid is, als het niet-geprivilegieerde gebruikersnaamruimten vereist, als het nieuwe exploitatiemethoden gebruikt. Elk van deze punten wordt geleverd met een bonus van € 20,000, wat uiteindelijk de betaling voor een werkende exploit verhoogt tot $ 91,337.
Eindelijk sAls je er meer over wilt weten over de notitie, je kunt de details in de originele post bekijken In de volgende link.