Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в ядре Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для проведения соревнований по поиску уязвимостей kCTF (Kubernetes Capture the Flag).

В программу вознаграждений введены дополнительные бонусные выплаты размером 20 тысяч долларов за 0-day уязвимости, за эксплоиты не требующие включения поддержки пространства имён идентификаторов пользователей (user namespaces) и за демонстрацию новых методов эксплуатации. Базовая выплата за демонстрацию в kCTF рабочего эксплоита составляет 31337 долларов (базовая выплата производится участнику, первому продемонстрировавшему рабочий эксплоит, но бонусные выплаты могут быть применены и для последующих эксплоитов для той же уязвимости).

В сумме с учётом бонусов максимальный размер вознаграждения за 1-day эксплоит (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, явно не помеченных как уязвимости) может доходить до 71337 долларов (было $31337), а за 0-day (проблемы, для которых ещё нет исправления) - 91337 долларов (было $50337). Программа выплат будет действовать до 31 декабря 2022 года.

Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей и два для 1-day уязвимостей. По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух проблем в ядро были добавлены исправления).