Google, Linux Çekirdeği, Kubernetes Sıfır Gün Ödüllerini Neredeyse İki Katına Çıkarıyor
Google, benzersiz istismar teknikleri kullanan sıfırıncı gün hataları ve istismarlar için daha büyük bonuslar ekleyerek Linux Çekirdeği, Kubernetes, Google Kubernetes Engine (GKE) veya kCTF güvenlik açıklarına ilişkin raporların ödüllerini artırdığını söylüyor.
Google Güvenlik Açığı Eşleştiricisi Eduardo Vela, "Topluluğun dikkatini çekmek için ödüllerimizi onların beklentileriyle eşleştirmemiz gerektiğinin farkına vardığımız için ödüllerimizi artırdık," dedi.
"Genişlemenin başarılı olduğunu düşünüyoruz ve bu nedenle en azından yıl sonuna kadar (2022) daha da uzatmak istiyoruz."
İlk olarak Kasım ayında, kritik güvenlik açıklarına ilişkin raporların ciddiyetine bağlı olarak 50.337 ABD Dolarına kadar ödül alacağı duyurulsa da, Google şimdi maksimum ödülü 91.337 ABD Dolarına yükseltti.
Bir istismar için maksimum para miktarını elde etmek, sıfır gün (güvenlik yaması olmayan bilinmeyen hatalar), ayrıcalıksız kullanıcı ad alanlarına ihtiyaç duymamaları ve yeni istismar teknikleri kullanmaları da dahil olmak üzere çeşitli koşullara bağlıdır.
Her biri, ilk geçerli bir istismar sunumunun değerini 91.337 $ 'a kadar getirebilecek 20.000 $' lık bir bonus ile birlikte gelir.
Vela, "Bu değişiklikler, bazı 1 günlük istismarları 71.337 USD'ye (31.337 USD'den) yükseltiyor ve tek bir istismar için maksimum ödülün 91.337 USD olmasını sağlıyor (50.337 USD'den),' dedi.
"Ayrıca, yeni istismar teknikleri gösterirlerse (0 USD'den fazla) kopyalar için bile en az 20.000 USD ödeyeceğiz. Bununla birlikte, 1 günlük ödül sayısını sürüm/yapı başına yalnızca bir tane ile sınırlayacağız."
Google, aynı güvenlik açığının mükerrer istismarları için ödeme yapmayacak olsa da, şirket, yeni istismar teknikleri için ikramiyelerin hala geçerli olacağını ve bunun da araştırmacıların yinelemeler için 20.000 $ alabilecekleri anlamına geldiğini söylüyor.
Son üç ayda 175.000 dolar ödendi
Kasım ayından bu yana Google, beş sıfır gün ve iki 1 gün dahil olmak üzere dokuz farklı gönderim için 175.000 dolardan fazla ödeme yaptı.
Google, bu dokuz güvenlik açığından üçünü zaten düzelttiğini söylüyor: CVE-2021-4154 , CVE-2021-22600 ( yama ) ve CVE-2022-0185 ( yazma ).
Vela, "Bu üç hata ilk olarak Syzkaller tarafından bulundu ve ikisi bize bildirildiklerinde Linux Çekirdeğinin ana hat ve kararlı sürümlerinde zaten düzeltilmişti."
Google'ın Temmuz 2021'de açıkladığı gibi, ilk VRP'sini on yıldan uzun bir süre önce piyasaya sürmesinden bu yana , yaklaşık 11.000 hata bildirdiği için 84 farklı ülkeden 2.000'den fazla güvenlik araştırmacısını ödüllendirdi.
Sonuç olarak Google, araştırmacıların Chromium güvenlik açığı ödül programının başlatıldığı Ocak 2010'dan bu yana 29 milyon dolardan fazla kazandığını söyledi .
Geçen hafta yayınlanan Güvenlik Açığı Ödül Programı: 2021 Yılı İnceleme raporunda şirket, 2021'de Android VRP tarihinin en yüksek ödemesi olan 157.000 dolarlık istismar zinciri de dahil olmak üzere rekor kıran 8.700.000 dolarlık ödül verdiğini söyledi.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
