Google上周宣布最新kCTF计划,提供Linux漏洞的缓解工具,另一方面也通过漏洞挖掘奖励计划,大幅提高突破这些缓解工具的研究人员奖金。
2020年Google首次推出kCTF(Kubernetes-based Capture-the-Flag)项目。其下漏洞奖励方案让研究人员连到Google GKE上寻找漏洞。研究人员找到漏洞后标示出来,经认可后能获得奖金。
而在今年,Google推出最新kCTF计划。首先,今年初Google加码kCTF奖励Linux漏洞挖掘的承诺仍然会持续进行,找到Linux核心漏洞的研究人员可获得20,000到91,337美元不等的奖金。而在此之外,Google上周又宣布Linux核心的新奖励措施。
Google根据去年kCTF发现到的安全漏洞及开采程序,发展出实验性缓解工具,Google相信能让Linux核心更难被黑。Google将公开这些正在测试中的工具,并提供悬赏奖金。凡是能找到最新Linux核心的漏洞,研究人员会额外支付2.1万美元,而如果能在安装最新缓解工具的特定Linux核心找到新的漏洞,研究人员还可再获得2.1万美元(前提是能突破Google的缓解工具)。这么一来,最高奖金最高可以来到133,337美元。
Google希望可以借此评估其缓解工具究竟能耐如何。目前Google发展出的缓解工具是为了解决slab界外写入(out-of-bounds write)、跨缓存(Cross Cache)攻击、Freelist毁损、Elastic对象的攻击。他们希望长期下来,可以制作出尽可能提高Linux核心漏洞攻击难度的缓解工具。