聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌表示提高对 Linux Kernel、Kubernetes、Google Kubernetes Engine (GKE) 或kCTF 漏洞报告的奖励力度。通过唯一的利用技术为0day 漏洞和 exploit 颁发更多奖金。
谷歌漏洞对接员 Eduardo Vela 解释称,“我们提高漏洞奖励是为了吸引社区注意力,把奖励提高到符合他们预期的水平。我们认为这样做成功了,因此我们想要将其至少延长到2022年年底。”
最高奖励91,337美元
最初在2021年11月谷歌称,根据严重程度,严重漏洞报告将获得最高50,337美元的奖励,而当前最高奖励金将达到91,337美元。获得最高奖励取决于多个条件,包括漏洞是否为0day、是否要求低权限用户名称空间以及是否使用了新型exploit 技术。每个条件均有2万美元的额外奖金,因而第一份提交有效exploit 的研究员将获得最高91,337美元的奖励。
Vela 解释称,“这些变更将某些1day漏洞的奖励从31,337美元增加到71,337美元,因此单个exploit的最高奖励将从50,337美元增加到91,337美元。如果这些漏洞证明了新型exploit技术,则即使提交重复,仍然将获得最少2万美元的奖励(原先无奖励)。然而,1day获得奖励的数量为每个版本/build 一个。”即,虽然谷歌将不对同样缺陷的重复exploit 支付奖励,但研究员即使提交了重复漏洞的exploit,只要该exploit技术是创新技术,则仍然可获得2万美元的奖励。
3个月中支付17.5万美元的奖励
自去年11月起,谷歌已总计为9个漏洞发放超过17.5万美元的奖励,其中包括5个0day和2个1day。谷歌表示已修复其中3个漏洞:CVE-2021-4154、CVE-2021-22600和CVE-2022-0185。
Vela 指出,“这三个漏洞是由 Syzkaller 发现的,其中2个已在Linux Kernel 的主线和稳定版本修复。”
2021年7月,谷歌指出自10年前推出首个VRP 计划后,已经向来自84个国家的2000多名研究员发放奖励,他们共发现约1.1万个bug。谷歌表示,自2010年1月起总计已发放2900万美元的奖励,当时 Chromium 漏洞奖励计划推出。上周,谷歌发布2021年度漏洞奖励计划回顾报告指出,2021年该公司共发放870万美元奖励,安卓VRP为一个利用链颁发出史上最高奖励:15.7万美元。
推荐阅读
谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元
谷歌紧急修复已遭在野利用的高危 V8 0day (CVE-2021-4102)
原文链接
https://www.bleepingcomputer.com/news/google/google-almost-doubles-linux-kernel-kubernetes-zero-day-rewards/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
641
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
