Under de senaste månaderna Google har ägnat särskild uppmärksamhet åt säkerhetsfrågor finns i kärnan Linux och KubernetesLiksom i november förra året ökade Google storleken på utbetalningarna när företaget tredubblade exploateringspengarna för tidigare okända buggar i Linux-kärnan.
Tanken var att människor kunde upptäcka nya sätt att utnyttja kärnan, särskilt i förhållande till Kubernetes som körs i molnet. Google rapporterar nu att programmet för att hitta fel har varit en framgång, har tagit emot nio rapporter på tre månader och betalat ut mer än $175,000 XNUMX till forskare.
Och det är det genom ett blogginlägg Google släppte återigen ett tillkännagivande om utvidgningen av initiativet att betala kontantbelöningar för att identifiera säkerhetsproblem i Linux-kärnan, Kubernetes containerorkestreringsplattform, Google Kubernetes Engine (GKE) och Kubernetes Capture the Flag (kCTF) sårbarhetskonkurrensmiljö.
Det nämns i inlägget nu inkluderar belöningsprogrammet en extra bonus 20,000 XNUMX $ för nolldagssårbarheter för utnyttjande som inte kräver stöd för användarnamnutrymme och för att demonstrera nya exploateringstekniker.
Grundutbetalningen för att demonstrera ett fungerande utnyttjande på kCTF är 31 337 $ (basutbetalningen tilldelas den deltagare som först demonstrerar en fungerande exploit, men bonusutbetalningar kan tillämpas på efterföljande exploits för samma sårbarhet).
Vi ökade våra belöningar eftersom vi insåg att vi för att fånga uppmärksamheten från samhället måste matcha våra belöningar med deras förväntningar. Vi anser att expansionen har varit en framgång och därför vill vi förlänga den ytterligare åtminstone fram till slutet av året (2022).
Under de senaste tre månaderna har vi tagit emot 9 bidrag och hittills betalat över 175 000 USD.
I publikationen kan vi se det total, med hänsyn till bonusarna, den maximala belöningen för en exploit (problem som identifierats baserat på analys av buggfixar i kodbasen som inte är explicit markerade som sårbarheter) kan nå upp till $71 337 (tidigare var den högsta belöningen $31), och för ett nolldagarsproblem (problem som det inte finns någon lösning på ännu) betalas upp till $337 (tidigare var den högsta belöningen $91,337). Betalningsprogrammet kommer att gälla till den 31 december 2022.
Det är anmärkningsvärt att under de senaste tre månaderna, Google har behandlat 9 förfrågningar cmed information om sårbarheter, för vilka 175 tusen dollar betalades.
Deltagande forskare förberedde fem exploateringar för nolldagssårbarheter och två för endagssårbarheter. Tre fixade problem i Linux-kärnan har avslöjats offentligt (CVE-1-2021 i cgroup-v4154, CVE-1-2021 i af_packet och CVE-22600-2022 i VFS) (dessa problem har redan identifierats via Syzkaller och för kärnan korrigeringar har lagts till för två problem).
Dessa förändringar ökar några 1-dagars exploateringar till $71 337 (mot $31 337) och ger den maximala belöningen för en enda exploit till $91 337 (mot $50 337). Vi kommer också att betala minst 20 000 USD även för dubbletter om de visar nya exploateringstekniker (istället för 0 USD). Men vi kommer också att begränsa antalet belöningar under 1 dag till bara en per version/bygge.
Det finns 12-18 GKE-släpp per år på varje kanal, och vi har två grupper på olika kanaler, så vi kommer att betala grundbelöningarna på 31 337 USD upp till 36 gånger (ingen gräns för bonusar). Även om vi inte förväntar oss att varje uppdatering ska ha giltig 1-dags leverans, skulle vi gärna höra något annat.
Som sådan nämns det i tillkännagivandet att summan av betalningarna beror på flera faktorer: om problemet som hittas är en nolldagarssårbarhet, om det kräver icke-privilegierade användarnamnutrymmen, om det använder några nya exploateringsmetoder. Var och en av dessa poäng kommer med en bonus på $ 20,000, vilket i slutändan höjer betalningen för en fungerande bedrift till $ 91,337.
Slutligen sOm du är intresserad av att veta mer om det om anteckningen kan du kontrollera detaljerna i det ursprungliga inlägget I följande länk.