غول فناوری گوگل جوایز نقدی بزرگتری برای گزارش هکرها ارائه می دهد نقص های امنیتی مهمی که بر هسته لینوکس، GKE، Kubernetes و kCTF تأثیر می گذارد.

در نوامبر سال گذشته گوگل پاداش باگ بوونتی را سه برابر کرد برای نقص‌های هسته لینوکس که از طریق برنامه پاداش آسیب‌پذیری (VRP) گزارش شده است، برای پرداخت تا سقف 50,337 دلار برای مشکلات روز صفر.

این هفته، این شرکت اعلام کرد که این مقدار را تقریباً دو برابر کرده و یک را ارائه می دهد حداکثر پاداش 91,337 دلار برای اکسپلویت هایی که معیارهای خاصی را برآورده می کنند. حداکثر پرداخت شامل یک پاداش پایه و سه جایزه است.

پاداش پایه برای اولین اکسپلویت ارائه شده برای یک آسیب پذیری خاص 31,337 دلار است، بدون اینکه برای اکسپلویت های تکراری پاداشی ارائه شود.

با این حال، غول تبلیغات جستجو، پاداشی معادل 20,000 دلار برای باگ‌های امنیتی روز صفر (پرداخت برای اولین اکسپلویت معتبر)، پاداش 20,000 دلاری دیگر برای آسیب‌پذیری‌هایی که نیازی به فضای نام کاربری غیرمجاز ندارند (پرداخت برای اولین اکسپلویت معتبر) و سومین جایزه 20,000 دلاری برای اکسپلویت ها با استفاده از تکنیک های جدید اکسپلویت (که برای اکسپلویت های تکراری نیز پرداخت می شود).

[ خواندن: Google Triples Bounty برای بهره برداری از هسته لینوکس ]

ساختار جوایز جدید همچنین به محققان شرکت‌کننده این امکان را می‌دهد تا ۷۱۳۳۷ دلار برای اکسپلویت‌های ۱ روزه و حداقل ۲۰ هزار دلار برای اکسپلویت‌های تکراری که از تکنیک‌های جدید استفاده می‌کنند، کسب کنند.

با این حال، گوگل اعلام کرد که تعداد پاداش‌ها را برای یک روز به تنها یک در هر نسخه/ساخت محدود می‌کند. سالیانه 1-12 نسخه GKE در هر کانال وجود دارد، و ما دو گروه در کانال‌های مختلف داریم، بنابراین پاداش پایه 18 دلاری را تا 31,337 بار پرداخت خواهیم کرد (بدون محدودیت برای پاداش‌ها).

این شرکت توصیه می‌کند که محققان اکسپلویت‌های خود را در خوشه‌های kCTF خودشان آزمایش کنند تا مطمئن شوند که هیچ شرکت‌کننده دیگری در VRP به این اکسپلویت دسترسی نخواهد داشت. 

علاوه بر این، این شرکت می‌گوید که با حرکت رو به جلو، ارسال‌های روز صفر دیگر لازم نیست در ابتدا شامل یک پرچم باشند، که گزارش‌های یک روزه باید شامل پیوندهایی به وصله‌ها باشد، و از همان فرم می‌توان برای ارسال هر دو اکسپلویت و پرچم استفاده کرد. .

[ خواندن: گوگل حمله جدید کروم در روز صفر را تایید کرد ]

گوگل اضافه کرد: «اگر یک چک‌سوم اکسپلویت را برای 0 روز ارسال کرده‌اید، لطفاً مطمئن شوید که اکسپلویت اصلی و همچنین اکسپلویت نهایی را وارد کرده‌اید و مطمئن شوید که آن را ظرف یک هفته پس از ادغام وصله در خط اصلی ارسال کنید».

این شرکت اکنون از یک خوشه برای کانال انتشار REGULAR و دیگری برای کانال انتشار سریع استفاده می کند تا انعطاف پذیری بیشتری را برای شکارچیان اشکال ارائه دهد.

از زمان راه‌اندازی گسترش kCTF VRP در نوامبر 2021، Google 1 مورد آسیب‌پذیری را دریافت کرد - شامل پنج روز صفر و دو یک روزه - و بیش از 175,000 دلار پاداش باگ پرداخت کرد.

مرتبط: Google در سال 8.7 2021 میلیون دلار پاداش باگ باونتی پرداخت کرد

مرتبط: گوگل در 29 سال بیش از 10 میلیون دلار پاداش Bug Bounty پرداخت کرد

مرتبط: Google وابستگی های منبع باز GKE را به برنامه پاداش آسیب پذیری اضافه می کند

• Coinsmart. بهترین صرافی بیت کوین و کریپتو اروپا.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی رایگان.
• CryptoHawk. رادار آلت کوین امتحان رایگان.
• منبع: https://www.securityweek.com/google-offering-91000-rewards-linux-kernel-gke-zero-days