Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld biografi den 15. februar 2022 | Emne: Sikkerhed
Billede: isak55/Shutterstock
Google vil betale mellem $20.000 og $91.337 til forskere, der skaber udnyttelse af sårbarheder i Linux-kernen, Kubernetes containerstyring system og Google Clouds Kubernetes Engine.
Dette bygger på den tre-måneders dusør, som Google introducerede i november, hvor den tredoblede belønningen for udnyttelser mod nye og hidtil ukendte Linux-kernefejl. Tanken var, at mængden ville afsløre nye kerneudnyttelsesteknikker, især for tjenester, der kører på Kubernetes i skyen.
Forskere skulle vise, at de kunne bruge udnyttelsen af en given fejl til at kompromittere Googles kCTF (Kubernetes Capture The Flag)-klynge og opnå et 'flag' – en hemmelighed gemt i et program – inden for rammerne af en konkurrence, som i denne sagen blev afholdt på Googles klynge.
SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-særrapport)
Google betragtede det udvidede program som en succes, og det vil derfor forlænge det til mindst udgangen af 2022. Men det har også foretaget en række ændringer, der dækker regler, betingelser og belønninger.
For det første øger det opdaterede og udvidede program den maksimale belønning for en enkelt udnyttelse fra $50.337 til $91.377.
På successiden af den eksisterende prøveperiode sagde Google, at den modtog ni indsendelser i løbet af de tre måneder og udbetalte over 175.000 USD i belønninger. Indsendelserne omfattede fem nul-dages eller hidtil ukendte fejl og to udnyttelser for '1days' eller netop opdagede fejl. Tre er blevet rettet og offentliggjort, inklusiv CVE-2021-4154, CVE-2021-22600 (patch) og CVE-2022-0185 (writeup), ifølge Google.
Google ændrer “en smule” belønningsstrukturen. Det vil nu betale $31.337 “til den første gyldige udnyttelsesindsendelse for en given sårbarhed” og vil ikke betale noget for duplikerede udnyttelser.
Den siger dog, at nogle bonusser stadig kan gælde for duplikerede udnyttelser. Disse omfatter: $20.000 til udnyttelse af 0-dages sårbarheder; $20.000 for udnyttelse af sårbarheder, der ikke kræver uprivilegerede brugernavne (CLONE_NEWUSER); og $20.000 for udnyttelser ved hjælp af nye udnyttelsesteknikker (tidligere betalte det ikke noget for disse).
“Disse ændringer øger nogle 1-dags udnyttelser til 71.337 USD (op fra 31.337 USD), og gør det således, at den maksimale belønning for en enkelt udnyttelse er 91.337 USD (op fra 50.337 USD),” bemærker Google.
Med hensyn til, hvad det betragter som nye teknikker, forklarer Google, at det er for “kraftige” tilbud:
“[N]ovel teknik kunne være udnyttelsen af hidtil ukendte objekter til at transformere en begrænset primitiv til en mere kraftfuld, såsom en vilkårlig/uden for grænserne læse/skrive eller vilkårlig fri. For eksempel i alle vores indlæg, forskere udnyttede meddelelseskøer til at opnå lækage af kerneinformation.
“Vi leder efter lignende kraftfulde teknikker, der gør det muligt at 'tilslutte' heap-udnyttelser og øjeblikkeligt tillader kerneadgang. Et andet eksempel er omgåelse af en almindelig sikkerhedsreduktion eller en teknik til at udnytte en klasse af sårbarheder mere pålideligt.”
Denne Linux-kerneudnyttelsesfejl er en lille del af Googles overordnede sårbarhedsbelønningsprogrammer, der dækker Android, Chrome og andre open source-projekter. I 2021 udbetalte Google 8,7 millioner USD i belønninger, hvoraf 2,9 millioner USD var til Android-fejl og 3,3 millioner USD til Chrome-fejl. Sidste års samlede belønninger steg fra 6,7 millioner USD i 2020.
Log4j: Google og IBM efterlyser en liste over kritiske open source-projekter Sådan sikkerhedskopieres din Gmail: Den ultimative guide Google udgiver Vertex AI Forecast til detailhandlere Dumper Chrome? Her er den bedste browser til at erstatte den Google | Security TV | Data Management | CXO | Datacentre