Google, Linux Çekirdek, Kubbernetler, Google Kubernetes Motoru (GKE) (GKE) veya KCTF güvenlik açıklarının, sıfır gün böcekleri için daha büyük bonuslar ekleyerek ve benzersiz sömürü teknikleri kullanarak daha büyük bonuslar ekleyerek ödülleri arttırdığını söylüyor.
Google Güvenlik Açığı Matchmaker Eduardo Vela, "Google Güvenlik Açığı Matchmaker Eduardo Vela," Bizim ödüllerimizi arttırdık çünkü "google güvenlik açığı matchmaker Eduardo Vela'yı açıkladı.
"Bir başarı olmasının genişlemesini düşünüyoruz ve bunun için en azından yılın sonuna kadar (2022) daha fazla uzatmak istiyoruz."
Başlangıçta Kasım ayında ilan ederken, eleştirel güvenlik açıklarının raporlarının ciddiyetlerine bağlı olarak 50,337 $ 'a kadar ödüllendirecek, Google artık maksimum ödülden 91,337 dolara yükseldi.
Bir istismarın maksimum para miktarını elde etmek, iltifatsız kullanıcı adlarını gerektirmezlerse, sıfır günler (güvenlik düzeltme eki olmayan bilinmeyen hatalar) dahil olmak üzere çeşitli koşullara bağlıdır ve eğer roman kullanım teknikleri kullanırlarsa.
Her biri, 91.337 dolara kadar birinci geçerli bir istismar sunumunun değerini getirebilecek 20.000 dolarlık bir bonus ile birlikte geliyor.
"Bu değişiklikler, bazı 1'i 71,337 USD'ye (31,337 USD'ye kadar) arttırır ve bunu tek bir istismarın maksimum ödülünün 91,337 USD'dir (50,337 USD'den) olduğunu belirtti" dedi.
"Ayrıca, roman sömürüsü tekniklerini (0 USD'den daha fazla) gösteriyorsa, en az 20.000 USD'lik kopyalar için bile ödeyeceğiz. Bununla birlikte, 1 gün boyunca 1 gün için ödüllerin sayısını / inşaat başına yalnızca birine sınırlayacağız."
Google aynı güvenlik kusurunun yinelenen sömürüleri için ödeme yapmazken, şirket, yeni istismar teknikleri için bonusların hala geçerli olacağını söylüyor, bu da araştırmacıların yine de kopyalar için 20.000 dolar alabileceği anlamına geliyor.
Kasım ayından bu yana, Google, beş sıfır-gün ve iki 1 gün dahil olmak üzere dokuz farklı başvuru için 175.000 dolardan fazla ödeme yaptı.
Google, bu dokuz güvenlik açısından üçünü zaten çözdüğünü söylüyor: CVE-2021-4154, CVE-2021-222600 (Yama) ve CVE-2022-0185 (WRITEUP).
"Bu üç böcek ilk önce Syzkaller tarafından bulundu ve ikisi, bize bildirildiği sırada Linux çekirdeğinin ana hattına ve kararlı versiyonlarına zaten sabitlenmişti" dedi.
Google'ın Temmuz 2021'de ortaya çıktığında, ilk VRP'sini on yıldan daha uzun bir süre önce başlattığından, yaklaşık 11.000 böcek bildirmek için 84 farklı ülkeden 2.000'den fazla güvenlik araştırmacısını ödüllendirdi.
Sonuçta, Google, Araştırmacıların, Chromium Güvenlik Açığı Ödül Programının başlatıldığı, Ocak 2010'dan bu yana 29 milyon doların üzerinde kazandığını söyledi.
Güvenlik Açığı Ödül Programında: 2021 Yıl Tarihinde Yayınlanan Raporun 2021 Yılı Yayınlanan Şirket, Android VRP tarihindeki en yüksek ödemeyi de dahil olmak üzere 2021'de, 2021'de Ödüller halinde rekor kıran 8.700.000 ABD Doları kazandığını belirtti.
Google Chrome Acil Durum güncellemesi, ataklarda sömürülen sıfır günü düzeltti
Tüm log4j, logback hataları şimdiye kadar biliyoruz ve neden hendek yapmalısınız 2.15
Google Project Sıfır: Satıcılar şimdi sıfır günleri sabitlemek için daha hızlı
Microsoft Paylaşımları Windows 10 Ciddi bir güvenlik açığı için geçici çözüm
ExpressVPN, sunucularını hackleyen ilk kişiye 100.000 $ teklif ediyor
Kaynak: Bleeping Computer