V zadnjih mesecih Google je posebno pozornost namenil varnostnim vprašanjem najdemo v jedru Linux in KubernetesTako kot novembra lani je Google povečal velikost izplačil, saj je podjetje potrojilo nagrade za izkoriščanje za prej neznane napake v jedru Linuxa.
Ideja je bila, da bi ljudje lahko odkrili nove načine za izkoriščanje jedra, zlasti v zvezi s Kubernetesom, ki tečejo v oblaku. Google zdaj poroča, da je bil program za iskanje hroščev uspešen, saj je v treh mesecih prejel devet poročil in raziskovalcem izplačal več kot 175,000 dolarjev.
In to je prek objave na blogu Google je ponovno objavil obvestilo o širitvi iniciative za plačilo denarnih nagrad za odkrivanje varnostnih težav v jedru Linuxa, platformi za orkestracijo vsebnikov Kubernetes, konkurenčnem okolju ranljivosti Kubernetes Capture the Flag (kCTF), Google Kubernetes Engine (GKE) in Kubernetes Capture the Flag (kCTF).
Objava to omenja zdaj program nagrajevanja vključuje dodaten bonus 20,000 $ za ranljivosti ničelnega dne za izkoriščanje, ki ne zahteva podpore uporabniškega imenskega prostora, in za prikaz novih tehnik izkoriščanja.
Osnovno izplačilo za prikaz delujočega izkoriščanja na kCTF je 31 $ (osnovno izplačilo se dodeli udeležencu, ki prvi pokaže delujoč izkoriščanje, vendar se bonusna izplačila lahko uporabijo za naslednje podvige za isto ranljivost).
Povečali smo naše nagrade, ker smo se zavedali, da moramo, da bi pritegnili pozornost skupnosti, naše nagrade uskladiti z njihovimi pričakovanji. Štejemo, da je bila širitev uspešna, zato bi jo radi podaljšali vsaj do konca leta (2022).
V zadnjih treh mesecih smo prejeli 9 prijav in do zdaj plačali več kot 175 $.
To lahko vidimo v publikaciji skupaj, ob upoštevanju bonusov, največja nagrada za podvig (težave, ugotovljene na podlagi analize popravkov napak v bazi kode, ki niso izrecno označene kot ranljivosti) lahko doseže do 71 $ (prej je bila najvišja nagrada 31 $), za problem nič dneva (probleme, za katere še ni rešitve) pa se plača do 337 $ (prej je bila najvišja nagrada 91,337 $). Plačilni program bo veljal do 31.
Omeniti velja, da je v zadnjih treh mesecih Google je obdelal 9 zahtev cz informacijami o ranljivostih, za kar je bilo plačanih 175 tisoč dolarjev.
Sodelujoči raziskovalci so pripravili pet izkoriščanj za ranljivosti z ničelnim dnevom in dva za ranljivosti enega dneva. Tri odpravljene težave v jedru Linuxa so bile javno razkrite (CVE-1-2021 v cgroup-v4154, CVE-1-2021 v af_packet in CVE-22600-2022 v VFS) (te težave so bile že odkrite prek Syzkallerja in za dve popravki napak so bili dodani jedru).
Te spremembe povečajo nekaj enodnevnih izkoriščanj na 1 USD (v primerjavi s 71 USD) in pomenijo največjo nagrado za posamezen izkoriščanje 337 USD (v primerjavi s 31 USD). Tudi za dvojnike bomo plačali vsaj 337 $, če bodo pokazali nove tehnike izkoriščanja (namesto 91 $). Vendar pa bomo tudi omejili število nagrad za 337 dan na samo eno na različico/gradnjo.
Na vsakem kanalu je 12-18 izdaj GKE na leto in imamo dve skupini na različnih kanalih, zato bomo osnovne nagrade v višini 31 USD izplačali do 337-krat (brez omejitve za bonuse). Čeprav ne pričakujemo, da bo vsaka posodobitev imela veljavno enodnevno dostavo, bi radi slišali drugače.
Kot tako je v objavi omenjeno, da je vsota plačil odvisna od več dejavnikov: če je ugotovljena težava ranljivost ničelnega dne, če zahteva neprivilegirane uporabniške imenske prostore, če uporablja nove načine izkoriščanja. Vsaka od teh točk ima bonus v višini $ 20,000, kar na koncu dvigne plačilo za delovni podvig $ 91,337.
Končno sČe vas zanima več o tem o opombi, lahko preverite podrobnosti v izvirni objavi V naslednji povezavi.