Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в ядре Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для проведения соревнований по поиску уязвимостей kCTF (Kubernetes Capture the Flag).
В программу вознаграждений введены дополнительные выплаты размером 20 тысяч долларов за 0-day уявзимости, за эксплоиты не требующие включения поддержки пространства имён индентификаторов пользователей (user namespaces) и за демонстрацию новых методов эксплуатации. С учётом бонусов максимальный размер вознаграждения за 1-day эксплоит теперь составляет 71337 долларов (было $31337), а за 0-day – 91337 долларов (было $50337).
Программа выплат будет действовать до 31 декабря 2022 года.
Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей (проблемы, для которых ещё нет исправления) и два для 1-day уязвимостей (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, явно не помеченных как уязвимости). По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух пробоем в ядро были добавлены исправления).