Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux. Максимальный размер выплаты за новую уязвимость и создание на её основе рабочего эксплоита увеличен с 91 до 133 тысяч долларов. Помимо ранее применявшегося окружения kCTF (Kubernetes Capture the Flag) для попыток взлома предложены новые окружения: на основе последней стабильной ветки обычного ядра Linux и на основе ветки ядра, в которую включены дополнительные патчи для блокирования типовых методов работы эксплоитов...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57621

• Google расширил программу стимулирования выявления уязвимост...,Аноним, 20:14 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Google, 20:24 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 14:38 , 11-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 20:28 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 09:20 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,РАСТОМАН, 20:17 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 20:30 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним774, 20:35 , 10-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Google, 20:22 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 20:26 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Google, 20:30 , 10-Авг-22
      • Google расширил программу стимулирования выявления уязвимост...,Mickey_Mouse, 21:50 , 10-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Google, 08:52 , 11-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Аноним, 13:25 , 11-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Аноним, 14:39 , 11-Авг-22
      • Google расширил программу стимулирования выявления уязвимост...,Аноним, 03:35 , 11-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 09:20 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Аноним, 20:22 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним774, 20:24 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Google, 20:26 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 23:16 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Google, 20:25 , 10-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Аноним774, 20:27 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Google, 20:30 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 14:42 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Аноним, 20:59 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 21:14 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 22:41 , 10-Авг-22
      • Google расширил программу стимулирования выявления уязвимост...,Neon, 02:23 , 11-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Аноним, 08:56 , 11-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Аноним, 16:12 , 13-Сен-22
      • Google расширил программу стимулирования выявления уязвимост...,Аноним, 19:01 , 11-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Аноним, 21:36 , 11-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Neon, 02:25 , 11-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Neon, 12:52 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Анониммус, 21:51 , 10-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 23:17 , 10-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 00:14 , 11-Авг-22
      • Google расширил программу стимулирования выявления уязвимост...,Аноним, 08:56 , 11-Авг-22
        • Google расширил программу стимулирования выявления уязвимост...,Аноним, 12:54 , 11-Авг-22
          • Google расширил программу стимулирования выявления уязвимост...,Аноним, 13:24 , 11-Авг-22
            • Google расширил программу стимулирования выявления уязвимост...,Аноним, 13:51 , 11-Авг-22
              • Google расширил программу стимулирования выявления уязвимост...,Аноним, 17:08 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Neon, 02:22 , 11-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 03:38 , 11-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 05:37 , 11-Авг-22
      • Google расширил программу стимулирования выявления уязвимост...,Google, 08:55 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,АнонимкаРастуимка, 09:18 , 11-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Mickey_Mouse, 12:51 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,Аноним, 09:51 , 11-Авг-22
  • Google расширил программу стимулирования выявления уязвимост...,Аноним, 13:25 , 11-Авг-22
    • Google расширил программу стимулирования выявления уязвимост...,Аноним, 13:50 , 11-Авг-22
• Google расширил программу стимулирования выявления уязвимост...,InuYasha, 12:42 , 12-Авг-22

Как-то маловато для корпорации добра, такие вещи дороже стоят.

// b.

А дело не в цене, а в том сколько мы получаем откликов. Откликов мы получаем нормальное количество, так что нет смысла платить больше.

// b.

В ядре не одного нормального ЯП. Не пора ли туда Карбон включить?

> корпорации добра

Сейчас такое и с сарказмом трудно выговорить.

Добра на букву "Г".

Эх.., был бы раст в ядре

Тогда бы гугл разорился выплачивать деньги за уязвимости
Хотя еще можно обернуть уязвимость в unsafe и сказать, что так и должно быть

Так на это и расчет. Гугл разорится,  растоманы же обогатятся.

Поясняю это всё делается для того чтобы было проще внедрить в ядро единственный быстрый и безопасный язык Carbon.

Почему не перейти на Fuchsia?

Потому что не готово. Но язык Carbon может сделать безопаснее всё на свете.  

Rust сделает безопасным?

Всё, совсем всё!

Кхм... А что если переписать rust на carbon'е. Он же от этого еще безопасней станет. Ж)

> Rust сделает безопасным?

Зачем нужен Раст когда есть Карбон?

> Потому что не готово. Но язык Carbon может сделать безопаснее всё на свете.

Вот ща, только вебмакак переучат на него дрова писать и перепишут FatFS с игогошечки :)

Cabron же.

Чтобы выявлять уязвимости надо их сначала самому туда и внедрить.

Касперского цитируете?

Касперского мы в Гугле не любим. Касперский эта табу. Нельзя говорить про Касперского. Касперского не существует. Это не маркетинг Касперского.  

Где почитать?

Ошибаетесь, молодой человек, хорошая уязвимость эта та, которую никто не смог найти.  

Гугл явно хочет выкатить свое ядро на карбоне

Очень хотим, но всему своё время.  

Карбон это будущее, но его сначала надо протестировать на ядре линукса

А зачем гуглу уязвимости? Чтобы эксплуатировать? Пока нет патчей и действует эмбарго?

Действительно, зачем крупнейшему пользователю линукса знать о дырах в ядре?

:)

Чтобы "менее крупные" не узнали пока эмбарго?

Какое эмбарго в линуксах ?!

Полное и окончательное!

Суд по GPL над астрой.

Ага, а когда эмбарго кончится, Гугл такой из-за угла выскочит и «азазазаза лохи у нас давно всё пропатчено, мы самые крутые». Там же в руководстве исключительно дети сидят и ерундой маются.

> когда эмбарго кончится, Гугл такой из-за угла выскочит

Зачем ждать конца эмбарго?

Можно во время действия эмбарго, имея рабочий эксплойт в виде "честно и щедро оплаченного" PoC, а не из незаконной темной сети, заскочить к лохам, ой, к своим клиентам, ждущим конца эмбарго, как самый крутой.

Какое может быть эмбарго в линуксах ?!)

Чтобы это узнать, нужно подумать. Думать больно, понимаю.

Слава богу есть еще компании которые готовы оплачивать высоко квалифилированных разработчиков.
А то на одних донатах не проживешь. Так хоть кто-то двигает софт в прекрасное будущее.

высококвалифилированных. Извините )

высококвалифицированных. Пардон )

высококвалифицированных. Сорри )

да хотя бы просто квалифицированных. Аревуар.

простоквалифицированных. Силь ву пле )

простоквалифицированных. Сорян )

простоквалифицированных. Извините )

Нужно больше уязвимостей.) Предлагаю лайфхак. Делаешь заранее в ядре уязвимость, а потом его находишь и получаешь за это денюжку. Профит)))

> Нужно больше уязвимостей.) Предлагаю лайфхак. Делаешь заранее в ядре уязвимость, а потом
> его находишь и получаешь за это денюжку. Профит)))

Они комиты еще и читают, так что ты довольно быстро лишишься работы и репутации. После этого твою гениальность будете оценивать на двоих с твоей ср@ной кошкой.

А вон то вроде бы поймано гуглом и syzbot'ом, в контексте углубленного изучения контейнеризации.

> Они комиты еще и читают, так что ты довольно быстро лишишься работы и репутации.

Читают, видимо, тоже быстро? Иначе откуда вдруг берутся уязвимости, тем более несвежие?

Мы ничего не читаем. Это люди читают, в своем ритма, как им нравится.

вот когда будет на раст, тогда вообще платить не надо будет!

Тогда платить будут тем, кто перепишет обратно на Си.

А сколько производитель BolgenOS за такое платит?

Он платит пивас.

Тоже неплохо, а какой пивас?

Да ну, АНБ Сышыа заплатит больше )