查看原文
其他

谷歌提高Linux内核漏洞奖励金,最高133337美元

Ionut Arghire 代码卫士 2022-11-01

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌再次通过基于Kubernetes 的CTF 漏洞奖励计划 (kCTF) 提高了Linux 漏洞的奖励金。

kCTF 计划在2020年启动,目的是使安全研究员报告位于谷歌Kubernetes Engine (GKE) 中的漏洞并获得旗子。谷歌指出,“虽然所有GKE及其依赖均涵盖在内,但截止目前所夺取的旗子只是通过Linux漏洞的容器破解。我们了解到从Linux 内核中找到并利用堆内存损坏漏洞可能会更难。”

为此,谷歌推出一系列新的缓解措施,希望使之前报告的漏洞和exploit更难以用于攻击中。谷歌此举是为了应对slab上的界外写、交叉缓存攻击、elastic 对象和空闲列表损坏。

为了激励安全研究员找到破解这些缓解措施的方法,谷歌还推出漏洞奖励计划,奖励从最新Linux 内核找到漏洞和绕过新推出缓解措施的安全研究人员。研究员可从这两种漏洞奖励类型中获得2.1万美元奖励,如根据kCTF计划找到多个严重漏洞,则可获得133337美元的奖励。

半年前,谷歌几乎将kCTF计划的基本奖励金翻番,并对特定漏洞类型给与高额奖励。基本奖励是31337美元,叠加三个2万美元奖励,研究员如满足某些标准则最高可获得91337美元。

目前,谷歌表示在无限制扩大去年提出的奖励金增额,并增加了新的2.1万美元奖励金。谷歌指出,“我们希望借此了解绕过我们的实验性缓解措施有多难。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com







推荐阅读
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
谷歌:注意 Linux 内核中严重的零点击 “BleedingTooth” 蓝牙缺陷



原文链接

https://www.securityweek.com/google-boosts-bug-bounty-rewards-linux-kernel-vulnerabilities


题图:Pexels License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存