O Google anunciou que agora, pelo menos até o final de janeiro, eles fornecerão valores de pagamento mais altos para pesquisadores de segurança que divulgam novas vulnerabilidades que afetam o kernel Linux. Pelos próximos três meses, o Google pagará um valor mínimo de US$ 31.337 por vulnerabilidades que podem explorar o aumento de privilégios. Ou se demonstrar uma vulnerabilidade não corrigida anteriormente ou uma nova técnica de exploração, eles pagarão nada menos que $ 50.337 dólares. Assim, o Google promete recompensas de 50 mil dólares para quem achar novas vulnerabilidades do kernel Linux.
Estamos constantemente investindo na segurança do kernel do Linux porque grande parte da Internet e do Google – desde os dispositivos em nossos bolsos até os serviços em execução no Kubernetes na nuvem – dependem da segurança dele. Nós pesquisar suas vulnerabilidades e ataques, bem como estudar e desenvolver suas defesas .
Mas sabemos que há mais trabalho a fazer. É por isso que decidimos construir sobre nosso kCTF VRP do ano passado e triplicar nossos valores de recompensa anteriores (pelo menos pelos próximos 3 meses).
O Google promete recompensas de 50 mil dólares para quem achar novas vulnerabilidades do kernel Linux
O Google está efetivamente triplicando seus valores de recompensa anteriores e promete honrá-los por pelo menos os próximos três meses. Eles esperam que essas recompensas de $ 31.337 ou $ 50.337 incentivem mais pesquisadores de segurança a explorar o kernel e relatar suas descobertas. Por sua vez, isso ajuda a melhorar a segurança do Android do Google, do Google Compute Engine e da frota interna de sistemas ou servidores Linux do Google.
A recompensa básica para cada vulnerabilidade corrigida publicamente é de US$ 31.337 (no máximo um exploit por vulnerabilidade), mas a recompensa pode chegar a US$ 50.337 em dois casos:
- Se a vulnerabilidade não foi corrigida de outra forma no Kernel (0 dia)
- Se a exploração usar um novo ataque ou técnica, conforme determinado pelo Google
Esperamos que as novas recompensas incentivem a comunidade de segurança a explorar novas técnicas de exploração do Kernel para alcançar o escalonamento de privilégios e conduzir soluções mais rápidas para essas vulnerabilidades. É importante observar que as primitivas de exploração mais fáceis não estão disponíveis em nosso ambiente de laboratório devido à proteção feita no Container-Optimized OS. Observe que este programa complementa as recompensas VRP do Android, então exploits que funcionam no Android também podem ser elegíveis por até 250.000 USD (isso é um acréscimo a este programa).
Mais detalhes sobre os elevados pagamentos de recompensas do Google por meio de seu blog de segurança.