Google 想让 Linux 内核漏洞更难被利用
Google 表示,它在从 Chromebook 到云的“几乎所有东西”中都使用了 Linux。
现在,它正在增加对能够发现开源操作系统缺陷的安全研究人员的奖励。自2020 年以来,Google 运行了一个名为 kCTF 的基于 Kubernetes 的开源 Capture-the-Flag (CTF) 项目,该项目允许研究人员连接到其 Google Kubernetes Engine (GKE) 实例,并尝试破解它们以捕获标志。到目前为止,每一个“标志”都是通过 Linux 内核漏洞进行的容器突破。
现在,Google 已经建立了一套缓解措施,它认为这将使过去一年收到的大部分漏洞和利用更难被利用。
Google 表示,它将向能够克服这些缓解措施的黑客提供高达 133337 美元的奖金。
现在,它为危害最新 Linux 内核的新漏洞提供了额外的 21000 美元,并为能够“明显”绕过其自定义实例中的实验性漏洞缓解措施的黑客提供了另外 21000 美元。这使总奖励最高可达 133337 美元。
kCTF 程序强调寻找针对内核的新漏洞,而不是新漏洞。
Google 热衷于为 Linux 内核开发保护措施,该内核用于 Android、Chromebook 和Google 云工作负载。
在 2 月份临时引入这一奖励范围之后,Google 现在还无限期地为新的内核漏洞提供 20000 至 91337 美元。Google 的 Eduardo Vela 说:“新实例将用于请求社区帮助我们评估我们最新的和更具实验性的安全缓解措施的价值,而不是简单地了解稳定内核的当前状态。”
“通过 kCTF VRP 计划,我们正在构建一个管道来分析、试验、测量和构建安全缓解措施,以在安全社区的帮助下使 Linux 内核尽可能安全。我们希望,随着时间的推移,我们将能够做出安全缓解措施,使 Linux 内核漏洞的利用变得尽可能困难。”