谷歌提高Linux内核漏洞奖励金,最高133337美元
编译:代码卫士
kCTF 计划在2020年启动,目的是使安全研究员报告位于谷歌Kubernetes Engine (GKE) 中的漏洞并获得旗子。谷歌指出,“虽然所有GKE及其依赖均涵盖在内,但截止目前所夺取的旗子只是通过Linux漏洞的容器破解。我们了解到从Linux 内核中找到并利用堆内存损坏漏洞可能会更难。”
为此,谷歌推出一系列新的缓解措施,希望使之前报告的漏洞和exploit更难以用于攻击中。谷歌此举是为了应对slab上的界外写、交叉缓存攻击、elastic 对象和空闲列表损坏。
为了激励安全研究员找到破解这些缓解措施的方法,谷歌还推出漏洞奖励计划,奖励从最新Linux 内核找到漏洞和绕过新推出缓解措施的安全研究人员。研究员可从这两种漏洞奖励类型中获得2.1万美元奖励,如根据kCTF计划找到多个严重漏洞,则可获得133337美元的奖励。
半年前,谷歌几乎将kCTF计划的基本奖励金翻番,并对特定漏洞类型给与高额奖励。基本奖励是31337美元,叠加三个2万美元奖励,研究员如满足某些标准则最高可获得91337美元。
目前,谷歌表示在无限制扩大去年提出的奖励金增额,并增加了新的2.1万美元奖励金。谷歌指出,“我们希望借此了解绕过我们的实验性缓解措施有多难。”
谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
谷歌:注意 Linux 内核中严重的零点击 “BleedingTooth” 蓝牙缺陷
https://www.securityweek.com/google-boosts-bug-bounty-rewards-linux-kernel-vulnerabilities
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。