ในช่วงหลายเดือนที่ผ่านมา Google ให้ความสำคัญเป็นพิเศษกับปัญหาด้านความปลอดภัย พบในเคอร์เนล Linux และ Kubernetesในเดือนพฤศจิกายนปีที่แล้ว Google ได้เพิ่มขนาดของการจ่ายเงิน เนื่องจากบริษัทได้เพิ่มเงินรางวัลสำหรับการหาช่องโหว่สำหรับจุดบกพร่องที่ไม่รู้จักก่อนหน้านี้ในเคอร์เนลของ Linux ถึงสามเท่า
แนวคิดก็คือผู้คนสามารถค้นพบวิธีใหม่ๆ ในการใช้ประโยชน์จากเคอร์เนล โดยเฉพาะในส่วนที่เกี่ยวกับ Kubernetes ที่ทำงานบนคลาวด์ ขณะนี้ Google รายงานว่าโปรแกรมค้นหาจุดบกพร่องประสบความสำเร็จ โดยได้รับรายงาน 175,000 ฉบับใน XNUMX เดือน และจัดสรรเงินให้นักวิจัยมากกว่า XNUMX เหรียญสหรัฐ
และนั่นก็คือผ่านโพสต์บล็อก Google ออกประกาศอีกครั้งเกี่ยวกับการขยายความคิดริเริ่ม เพื่อจ่ายรางวัลเงินสดสำหรับการระบุปัญหาด้านความปลอดภัยในเคอร์เนล Linux, แพลตฟอร์มการจัดการคอนเทนเนอร์ Kubernetes, Google Kubernetes Engine (GKE) และ Kubernetes Capture the Flag (kCTF) สภาพแวดล้อมการแข่งขันที่มีช่องโหว่
โพสต์ระบุว่า ตอนนี้โปรแกรมรางวัลรวมโบนัสเพิ่มเติม 20,000 ดอลลาร์สำหรับช่องโหว่ซีโร่เดย์สำหรับช่องโหว่ที่ไม่ต้องการการสนับสนุนเนมสเปซผู้ใช้และเพื่อสาธิตเทคนิคการหาช่องโหว่ใหม่
การจ่ายเงินพื้นฐานสำหรับการสาธิตการใช้ประโยชน์จากการทำงานที่ kCTF คือ 31 เหรียญสหรัฐ (การจ่ายเงินพื้นฐานจะมอบให้กับผู้เข้าแข่งขันที่แสดงให้เห็นถึงการใช้ประโยชน์จากการทำงานในครั้งแรก แต่การจ่ายเงินโบนัสสามารถนำไปใช้กับการหาช่องโหว่ที่ตามมาสำหรับช่องโหว่เดียวกัน)
เราเพิ่มรางวัลของเราเพราะเราตระหนักดีว่าเพื่อดึงดูดความสนใจของชุมชน เราจำเป็นต้องจับคู่รางวัลของเรากับความคาดหวังของพวกเขา เราถือว่าการขยายนี้ประสบความสำเร็จ ดังนั้นเราจึงต้องการที่จะขยายต่อไปอย่างน้อยก็จนถึงสิ้นปี (2022)
ในช่วงสามเดือนที่ผ่านมา เราได้รับการส่ง 9 รายการและจ่ายเงินไปแล้วกว่า 175 เหรียญสหรัฐ
ในสิ่งพิมพ์เราจะเห็นว่า รวม, โดยคำนึงถึงโบนัส ผลตอบแทนสูงสุดสำหรับการเอารัดเอาเปรียบ (ปัญหาที่ระบุตามการวิเคราะห์การแก้ไขจุดบกพร่องในฐานรหัสที่ไม่ได้ทำเครื่องหมายว่าเป็นช่องโหว่อย่างชัดแจ้ง) สามารถเข้าถึงสูงถึง $71 (ก่อนหน้านี้รางวัลสูงสุดคือ $31) และสำหรับปัญหาซีโร่เดย์ (ปัญหาที่ยังไม่มีวิธีแก้ไข) จ่ายสูงถึง $337 (ก่อนหน้านี้รางวัลสูงสุดคือ $91,337) โปรแกรมการชำระเงินจะใช้ได้จนถึงวันที่ 31 ธันวาคม 2022
เป็นที่น่าสังเกตว่าในช่วงสามเดือนที่ผ่านมา Google ได้ดำเนินการแล้ว 9 คำขอ cพร้อมข้อมูลเกี่ยวกับช่องโหว่ซึ่งจ่ายไป 175 ดอลลาร์
นักวิจัยที่เข้าร่วมได้เตรียมการหาช่องโหว่ 1 รายการสำหรับช่องโหว่ Zero-day และอีก 2021 รายการสำหรับช่องโหว่ 4154 วัน ปัญหาคงที่สามประการในเคอร์เนล Linux ได้รับการเปิดเผยต่อสาธารณะแล้ว (CVE-1-2021 ใน cgroup-v22600, CVE-2022-0185 ใน af_packet และ CVE-XNUMX-XNUMX ใน VFS) (ปัญหาเหล่านี้ได้รับการระบุแล้วผ่าน Syzkaller และสำหรับเคอร์เนล มีการเพิ่มการแก้ไขสำหรับสองประเด็น)
การเปลี่ยนแปลงเหล่านี้เพิ่มการหาประโยชน์ใน 1 วันบางส่วนเป็น 71 ดอลลาร์ (เทียบกับ 337 ดอลลาร์) และให้รางวัลสูงสุดสำหรับการหาประโยชน์เพียงครั้งเดียวเป็นจำนวน 31 ดอลลาร์ (เทียบกับ 337 ดอลลาร์) นอกจากนี้ เราจะจ่ายแม้สำหรับรายการที่ซ้ำกันอย่างน้อย $91 หากพวกเขาสาธิตเทคนิคการหาประโยชน์จากนวนิยาย (แทนที่จะเป็น $337) อย่างไรก็ตาม เราจะจำกัดจำนวนรางวัลสำหรับ 50 วันให้เหลือเพียงรางวัลเดียวต่อเวอร์ชัน/บิลด์
แต่ละช่องมี GKE 12-18 รุ่นต่อปี และเรามีสองกลุ่มในช่องที่แตกต่างกัน ดังนั้นเราจะจ่ายรางวัลพื้นฐานเป็น 31 USD สูงสุด 337 ครั้ง (ไม่จำกัดโบนัส) แม้ว่าเราไม่ได้คาดหวังว่าทุกการอัปเดตจะมีการจัดส่งที่ถูกต้องภายใน 36 วัน แต่เรายินดีรับฟังหากเป็นอย่างอื่น
ดังที่ได้กล่าวไว้ในประกาศแล้วว่ายอดรวมของการชำระเงินขึ้นอยู่กับปัจจัยหลายประการ: หากปัญหาที่พบคือช่องโหว่ซีโร่เดย์ หากต้องใช้เนมสเปซผู้ใช้ที่ไม่มีสิทธิพิเศษ หากใช้วิธีการหาประโยชน์ใหม่บางอย่าง แต่ละคะแนนเหล่านี้มาพร้อมกับโบนัสของ $ 20,000ซึ่งในที่สุดจะเพิ่มการจ่ายเงินสำหรับการแสวงหาผลประโยชน์จากการทำงานไปยัง $ 91,337
สุดท้าย sหากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ เรื่องหมายเหตุ สามารถตรวจสอบรายละเอียดได้ในโพสต์ต้นทางครับ ในลิงค์ต่อไปนี้.