Google добавила новые награды за найденные в ядре Linux уязвимости

Компания Google объявила о внесении обновлений в программу kCTF (Capture-the-Flag для Kubernetes). Она продлила на неопределённый срок выплату увеличенного вознаграждения, о котором было объявлено ранее в этом году. То есть компания продолжит делать выплаты в пределах от $20 000 до $91 337 за взлом предложенных демонстрационных кластеров kCTF на базе инстансов Google Kubernetes Engine (GKE). Эта выплата будет осуществляться в дополнение к существующим вознаграждениям за исправления для упреждающих улучшений безопасности. Однако Google заметила, что на текущий момент все уязвимости, позволяющие покинуть контейнер, были связаны с проблемами в ядре Linux. Поэтому компания запустила новые окружения (инстансы) с дополнительными наградами, чтобы оценить защищённость последнего стабильного релиза ядра Linux, а также новые экспериментальные средства защиты. Компания отметила, что разработанные ей меры защиты усложнят использование большинства обнаруженных в прошлом году багов (уязвимостей — в 9 из 10 случаях, эксплойтов — в 10 из 13 случаев).