За последние месяцы Google уделил особое внимание вопросам безопасности нашел в ядре Линукс и КубернетесКак и в ноябре прошлого года, Google увеличил размер выплат, поскольку компания утроила вознаграждение за эксплойты за ранее неизвестные ошибки в ядре Linux.
Идея заключалась в том, чтобы люди могли открывать новые способы эксплуатации ядра, особенно в отношении Kubernetes, работающего в облаке. Теперь Google сообщает, что программа поиска ошибок увенчалась успехом: за три месяца было получено девять отчетов, и исследователям было выплачено более 175,000 XNUMX долларов.
И это то, что через сообщение в блоге Google снова выпустила объявление о расширении инициативы для выплаты денежного вознаграждения за выявление проблем безопасности в ядре Linux, платформе оркестровки контейнеров Kubernetes, Google Kubernetes Engine (GKE) и среде соревнования по уязвимостям Kubernetes Capture the Flag (kCTF).
В посте упоминается, что теперь в бонусную программу включен дополнительный бонус 20,000 XNUMX долларов США за уязвимости нулевого дня для эксплойтов, не требующих поддержки пользовательского пространства имен, и для демонстрации новых методов эксплойтов.
Базовая выплата за демонстрацию работающего эксплойта на kCTF составляет 31 337 долларов США (базовая выплата присуждается участнику, который первым продемонстрирует работающий эксплойт, но бонусные выплаты могут применяться к последующим эксплойтам для той же уязвимости).
Мы увеличили наши вознаграждения, потому что поняли, что для того, чтобы привлечь внимание сообщества, нам нужно, чтобы наши вознаграждения соответствовали их ожиданиям. Мы считаем, что расширение прошло успешно, и поэтому мы хотели бы продлить его как минимум до конца года (2022).
За последние три месяца мы получили 9 заявок и выплатили более 175 000 долларов.
В публикации мы видим, что общий, с учетом бонусов, максимальная награда за подвиг (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, которые явно не помечены как уязвимости) может достигать $71 337 (ранее наивысшее вознаграждение составляло 31 337 долларов), а за задачу нулевого дня (задачи, для которых пока нет решения) выплачивается до 91,337 50,337 долларов (ранее наивысшее вознаграждение составляло XNUMX XNUMX долларов). Программа выплат будет действовать до 31 декабря 2022 года.
Примечательно, что за последние три месяца Google обработал 9 запросов cс информацией об уязвимостях, за что было заплачено 175 тысяч долларов.
Участвующие исследователи подготовили пять эксплойтов для уязвимостей нулевого дня и два для однодневных уязвимостей. Публично раскрыты три исправленные проблемы в ядре Linux (CVE-1-2021 в cgroup-v4154, CVE-1-2021 в af_packet и CVE-22600-2022 в VFS) (эти проблемы уже были выявлены через Syzkaller и для двух в ядро были добавлены исправления ошибок).
Эти изменения увеличивают некоторые однодневные эксплойты до 1 71 долларов (против 337 31 долларов), а максимальное вознаграждение за один эксплойт составляет 337 91 долларов (против 337 50 долларов). Мы также будем платить даже за дубликаты не менее 337 20 долларов США, если они демонстрируют новые методы эксплойта (вместо 000 долларов США). Однако мы также ограничим количество наград за 0 день до одной на версию/сборку.
На каждом канале выходит 12-18 выпусков GKE в год, и у нас есть две группы на разных каналах, поэтому мы будем выплачивать базовое вознаграждение в размере 31 337 долларов США до 36 раз (без ограничений для бонусов). Хотя мы не ожидаем, что каждое обновление будет иметь действительную 1-дневную доставку, мы хотели бы услышать об обратном.
При этом в объявлении указано, что сумма выплат зависит от нескольких факторов: является ли обнаруженная проблема уязвимостью нулевого дня, требует ли она непривилегированных пространств имен пользователей, использует ли она какие-то новые методы эксплуатации. Каждое из этих очков дает бонус в размере $ 20,000, что в итоге повышает плату за работающий эксплойт до $ 91,337.
Наконец сЕсли вам интересно узнать об этом больше о заметке, вы можете проверить подробности в оригинальном посте По следующей ссылке.