编译:代码卫士

谷歌表示提高对 Linux Kernel、Kubernetes、Google Kubernetes Engine (GKE) 或kCTF 漏洞报告的奖励力度。通过唯一的利用技术为0day 漏洞和 exploit 颁发更多奖金。

谷歌漏洞对接员 Eduardo Vela 解释称,“我们提高漏洞奖励是为了吸引社区注意力,把奖励提高到符合他们预期的水平。我们认为这样做成功了,因此我们想要将其至少延长到2022年年底。”

最高奖励91,337美元

最初在2021年11月谷歌称,根据严重程度,严重漏洞报告将获得最高50,337美元的奖励,而当前最高奖励金将达到91,337美元。获得最高奖励取决于多个条件,包括漏洞是否为0day、是否要求低权限用户名称空间以及是否使用了新型exploit 技术。每个条件均有2万美元的额外奖金,因而第一份提交有效exploit 的研究员将获得最高91,337美元的奖励。

Vela 解释称,“这些变更将某些1day漏洞的奖励从31,337美元增加到71,337美元,因此单个exploit的最高奖励将从50,337美元增加到91,337美元。如果这些漏洞证明了新型exploit技术,则即使提交重复,仍然将获得最少2万美元的奖励(原先无奖励)。然而,1day获得奖励的数量为每个版本/build 一个。”即,虽然谷歌将不对同样缺陷的重复exploit 支付奖励,但研究员即使提交了重复漏洞的exploit,只要该exploit技术是创新技术,则仍然可获得2万美元的奖励。

3个月中支付17.5万美元的奖励

自去年11月起,谷歌已总计为9个漏洞发放超过17.5万美元的奖励,其中包括5个0day和2个1day。谷歌表示已修复其中3个漏洞:CVE-2021-4154、CVE-2021-22600和CVE-2022-0185。

Vela 指出,“这三个漏洞是由 Syzkaller 发现的,其中2个已在Linux Kernel 的主线和稳定版本修复。”

2021年7月,谷歌指出自10年前推出首个VRP 计划后,已经向来自84个国家的2000多名研究员发放奖励,他们共发现约1.1万个bug。谷歌表示,自2010年1月起总计已发放2900万美元的奖励,当时 Chromium 漏洞奖励计划推出。上周,谷歌发布2021年度漏洞奖励计划回顾报告指出,2021年该公司共发放870万美元奖励,安卓VRP为一个利用链颁发出史上最高奖励:15.7万美元。

原文链接

https://www.bleepingcomputer.com/news/google/google-almost-doubles-linux-kernel-kubernetes-zero-day-rewards/

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。