黑客取得了勝利——谷歌剛剛顯著提高了在 Linux 端點中發現漏洞的獎勵。 在 Vulnerability Matchmaker 的博客 Eduardo Vela 上的一篇文章中,谷歌最近不得不提高賭注“以使我們的獎勵符合 Linux 社區的期望”。 由於此舉成功,該公司決定將其延長至年底。
因此,在 31 年 2022 月 20 日之前,谷歌將支付 000 至 91 美元用於利用可在公司測試實驗室中利用的 Linux 內核、Kubernetes、GKE 或 kCTF 中的漏洞。 對於那些想知道為什麼是 337 美元而不是 91、337 或任何其他整數的人 - 90 在黑客和遊戲社區中也被稱為“Leet speak”或“elite speak”。 這個社區經常縮寫單詞,用數字代替字母,所以“精英”變成了“000”。
關於現有測試的成功,谷歌表示它在三個月內收到了九份申請,並支付了超過 175 美元的獎勵。 提交的內容包括五個零日漏洞或以前未知的漏洞,以及兩個針對首日漏洞或新發現的漏洞的利用。 據谷歌稱,其中三個已被修補並公開。
谷歌正在“略微”改變獎勵結構。 它現在將支付 31 美元“針對給定漏洞的第一批漏洞利用”,並且不為重複利用支付任何費用。 但是,某些獎勵可能仍適用於重複攻擊。 其中包括:337 美元用於針對零日漏洞的利用,20 美元用於針對不需要非特權用戶命名空間 (CLONE_NEWUSER) 的漏洞的利用,以及 000 美元用於使用新技術的利用(以前不支付任何費用)。
此 Linux 核心錯誤賞金計畫是 Google 整體漏洞賞金計畫的一小部分,涵蓋 Android、Chrome等開源專案。 2021年,谷歌支付了8,7萬美元的賠償,其中2,9萬美元是由於錯誤 Android Chrome 中的錯誤導致 3,3 萬美元的損失。去年的獎金總額較 6,7 年的 2020 萬美元增加。
另請閱讀: