Google почти удвоил вознаграждение за «нулевой день» в Linux Kernel и Kubernetes

3
Google

Google сообщает, что увеличил вознаграждение за сообщения об уязвимостях в Linux Kernel, Kubernetes, Google Kubernetes Engine (GKE) или kCTF, добавив большие бонусы за ошибки нулевого дня и эксплойты, использующие уникальные методы эксплуатации.

«Мы увеличили размер вознаграждения, поскольку поняли, что для привлечения внимания сообщества нам необходимо привести наши вознаграждения в соответствие с их ожиданиями», — пояснил специалист Google Vulnerability Matchmaker Эдуардо Вела.

«Мы считаем расширение акции успешным, и поэтому хотели бы продлить ее еще больше, по крайней мере, до конца этого года (2022)».

Если первоначально в ноябре было объявлено, что за сообщения о критических уязвимостях можно будет получить вознаграждение до $50 337 в зависимости от их серьезности, то теперь Google увеличил максимальное вознаграждение до $91 337.

Получение максимальной суммы денег за эксплойт зависит от нескольких условий, в том числе от того, являются ли они zero-day (неизвестные ошибки без патча безопасности), не требуют ли они пространства имен непривилегированных пользователей и используют ли они новые техники эксплойта.

За каждый из них полагается бонус в размере $20 000, что может довести стоимость первого действительного эксплойта до $91 337.

«Эти изменения увеличивают стоимость некоторых эксплойтов за 1 день до 71 337 долларов США (по сравнению с 31 337 долларов США), и делают так, что максимальное вознаграждение за один эксплойт составляет 91 337 долларов США (по сравнению с 50 337 долларов США)», — пояснил Вела.

«Мы также собираемся платить даже за дубликаты не менее 20 000 долларов США, если они демонстрируют новые техники эксплойтов (по сравнению с 0 долларов США). Однако мы также ограничим количество вознаграждений за 1 день только одним на версию/сборку».

Хотя Google не будет платить за дубликаты эксплойтов одного и того же дефекта безопасности, компания говорит, что бонусы за новые методы эксплойтов будут по-прежнему применяться, а это значит, что исследователи все еще могут получить 20 000 долларов за дубликаты.

175 000 долларов выплачено за последние три месяца

С ноября Google выплатил более 175 000 долларов за девять различных заявок, включая пять нулевых и две однодневных.

Google утверждает, что уже устранил три из этих девяти уязвимостей: CVE-2021-4154, CVE-2021-22600 (патч) и CVE-2022-0185 (запись).

«Эти три ошибки были впервые обнаружены Syzkaller, и две из них уже были исправлены в основной и стабильной версиях ядра Linux на тот момент, когда о них нам сообщили», — добавил Вела.

Как Google объявила в июле 2021 года, с момента запуска первого VRP более десяти лет назад она наградила более 2 000 исследователей безопасности из 84 стран за сообщения о примерно 11 000 ошибок.

В общей сложности, по словам Google, исследователи заработали более 29 миллионов долларов с января 2010 года, когда была запущена программа вознаграждения за уязвимости Chromium.

В отчете Vulnerability Reward Program: 2021 Year in Review report, опубликованном на прошлой неделе, компания сообщила, что в 2021 году она выдала рекордное вознаграждение в размере $8 700 000, включая самую высокую выплату в истории Android VRP: цепочку эксплойтов стоимостью $157 000.

 

Последнее обновление 7 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии