谷歌发布 Linux 内核提权漏洞奖励计划，综合奖金最高超30万美元

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌表示，由于在很大程度上互联网和谷歌，小到口袋中的设备、大到在云中K8s 上运行的服务都依赖于Linux 内核安全，因此一直致力于研究其安全性和相关攻击，同时学习和开发其防御措施。

谷歌表示，当下仍然做很多工作，这也是为何决定基于去年的 Kctf VRP 计划推出Linux 内核漏洞奖励计划并至少在未来三个月的时间里将奖金提高到原来的三倍。

谷歌表示，对于每个公开修复漏洞的奖励是 31.337美元（每个漏洞最多一个exploit），不过如经谷歌判断，符合如下情况，奖金可达到50,337美元：

谷歌表示，此举旨在鼓励安全社区探索新的实现提权的内核利用技术，促使漏洞能够被更快速地修复。不过需要了解的是，由于对Container-Optimized OS 安全性的加固，实验环境中并不存在最容易的利用原语。本漏洞奖励计划和安卓的VRP计划互为补充，因此如研究人员提供的 exploit 同时适用于安卓系统，则可获得额外最多25万美元的奖励。

1、 连接至 kCTF VRP 集群，获取root 权限并读取flag，之后提交 flg 及exploit 的校验和

2、（如适用），将漏洞报告给上游。谷歌强烈建议报告中包含可获得补丁奖励计划奖金的补丁，不过如证实漏洞是可被利用的，则需及时将报告漏洞。

3、补丁公开发布后，将研究成果发送至谷歌 VRP 计划。需提供 exploit 代码以及算法，用于计算哈希校验和；对exploit 策略进行简略说明。谷歌表示不希望在补丁发布前公开漏洞详情。

更多详情可见：https://security.googleblog.com/2021/11/trick-treat-paying-leets-and-sweets-for.html