Google adicionou novas recompensas para vulnerabilidades encontradas no kernel do Linux

O Google anunciou atualizações para o programa kCTF (Capture-the-Flag for Kubernetes). Prorrogou por tempo indeterminado o pagamento do aumento da remuneração, que foi anunciado no início deste ano. Ou seja, a empresa continuará a fazer pagamentos que variam de US$ 20.000 a US$ 91.337 para hackear os clusters kCTF de demonstração propostos com base nas instâncias do Google Kubernetes Engine (GKE). Este pagamento será um acréscimo às recompensas de patch existentes para melhorias de segurança proativas.

No entanto, o Google notou que, até o momento, todas as vulnerabilidades que permitem sair do contêiner estão relacionadas a problemas no kernel do Linux. Portanto, a empresa lançou novos ambientes (instâncias) com recompensas adicionais para avaliar a segurança da última versão estável do kernel Linux, bem como novas proteções experimentais. A empresa observou que as medidas de proteção que desenvolveu irão complicar o uso da maioria dos bugs descobertos no ano passado (vulnerabilidades – em 9 de 10 casos, exploits – em 10 de 13 casos).

Fonte da imagem: Pixabay

Para criar novos exploits para a última ramificação estável do kernel Linux, a empresa pagará um adicional de US$ 21.000. Para aqueles que comprometerem um kernel especial com patches experimentais estendidos do Google, uma recompensa adicional será de US$ 21.000. Assim, no total, você pode conseguiu até US$ 133.337 para empresas alocarem mais engenheiros para desenvolver e manter o kernel Linux e, no ano passado, a empresa fez parceria com a Linux Foundation para financiar dois especialistas em segurança do kernel.