google上周宣布最新kctf计划,提供linux漏洞的缓解工具,另一方面也通过漏洞挖掘奖励计划,大幅提高突破这些缓解工具的研究人员奖金。
2020年google首次推出kctf(kubernetes-based capture-the-flag)项目。其下漏洞奖励方案让研究人员连到google gke上寻找漏洞。研究人员找到漏洞后标示出来,经认可后能获得奖金。
而在今年,google推出最新kctf计划。首先,今年初google加码kctf奖励linux漏洞挖掘的承诺仍然会持续进行,找到linux核心漏洞的研究人员可获得20,000到91,337美元不等的奖金。而在此之外,google上周又宣布linux核心的新奖励措施。
google根据去年kctf发现到的安全漏洞及开采程序,发展出实验性缓解工具,google相信能让linux核心更难被黑。google将公开这些正在测试中的工具,并提供悬赏奖金。凡是能找到最新linux核心的漏洞,研究人员会额外支付2.1万美元,而如果能在安装最新缓解工具的特定linux核心找到新的漏洞,研究人员还可再获得2.1万美元(前提是能突破google的缓解工具)。这么一来,最高奖金最高可以来到133,337美元。
google希望可以借此评估其缓解工具究竟能耐如何。目前google发展出的缓解工具是为了解决slab界外写入(out-of-bounds write)、跨缓存(cross cache)攻击、freelist毁损、elastic对象的攻击。他们希望长期下来,可以制作出尽可能提高linux核心漏洞攻击难度的缓解工具。