Google will Linux-Kernel besser schützen

Der Linux-Kernel ist eine Schlüsselkomponente für die Sicherheit des Internets. Google setzt Linux in fast allen Bereichen ein, von den Computern bis hin zu den Produkten, die Menschen auf der ganzen Welt täglich nutzen, wie Chromebooks, Android auf Telefonen, Autos und Fernsehern sowie Workloads in der Google Cloud. Aus diesem Grund hat das Unternehmen stark in die Sicherheit von Linux investiert und wird seine Belohnungen für Bug-Hunter Googles im kCTF-Cluster (Kubernetes Capture The Flag) Programm erhöhen.

Dieses Bug Bounty Programm für den Linux-Kernel ist nur ein kleiner Teil des gesamten Vulnerability Reward Programs von Google, das Android, Chrome und andere Open-Source-Projekte umfasst. Im Jahr 2021 zahlte Google 8,7 Millionen Dollar an Belohnungen aus, davon 2,9 Millionen Dollar für Android-Bugs und 3,3 Millionen Dollar für Chrome-Bugs.

Google zahlt zwischen 20.000 und 91.337 US-Dollar an Forscher, die Sicherheitslücken im Linux-Kernel, im Container-Management-System Kubernetes und in der Kubernetes-Engine der Google Cloud finden.

Diese Aktion baut auf dem dreimonatigen Kopfgeld auf, das Google im November eingeführt hatte. Damals verdreifachte das Unternehmen die Belohnungen für die Ausnutzung neuer und bisher unbekannter Fehler im Linux-Kernel. Die Idee war, dass die Menge neue Techniken zur Ausnutzung des Kernels aufdecken würde, insbesondere für Dienste, die auf Kubernetes in der Cloud laufen.

Die Forscher mussten zeigen, dass sie den Exploit für einen bestimmten Fehler nutzen konnten, um Googles kCTF-Cluster (Kubernetes Capture The Flag) zu kompromittieren und eine Flagge (ein in einem Programm verstecktes Geheimnis) im Rahmen eines Wettbewerbs zu erhalten, der in diesem Fall auf Googles Cluster stattfand.

Google betrachtete das erweiterte Programm als Erfolg und wird es daher bis mindestens Ende 2022 verlängern. Es hat jedoch auch eine Reihe von Änderungen vorgenommen, die Regeln, Bedingungen und Belohnungen betreffen.

Erstens erhöht Google das aktualisierte und erweiterte Programm die maximale Belohnung für einen einzelnen Exploit von 50.337 $ auf 91.377 $.

Was den Erfolg der bestehenden Studie angeht, so hat Google nach eigenen Angaben in den drei Monaten neun Meldungen erhalten und über 175.000 Dollar an Belohnungen ausgezahlt. Zu den Einsendungen gehörten fünf Zero-Days oder bisher unbekannte Schwachstellen und zwei Exploits für „1days“ oder gerade entdeckte Schwachstellen. Drei davon wurden behoben und veröffentlicht, darunter CVE-2021-4154, CVE-2021-22600 (Patch) und CVE-2022-0185 (Update), so Google.

Jakob Jung

Recent Posts

Logitech: Designed for Mac

Logitech startet eine Produktreihe von Mäusen und Tastaturen, die speziell für Apple-Rechner ausgelegt sind unter…

3 Stunden ago

Microsoft Ignite: Spotlight on Germany

Die Microsoft Konferenz Ignite findet in diesem Jahr vom 12. bis 14. Oktober 2022 statt.…

3 Stunden ago

Open Source Initiative weitet ihre Rolle aus

In den letzten 20 Jahren war die Open Source Initiative (OSI) die Hüterin der Open-Source-Lizenzen.…

4 Stunden ago

Intel stellt sich neu auf

Der Chiphersteller Intel setzt seinen Fokus auf neue KI-/ML-Anwendungen, weltweit verteilte Fabriken und eine überarbeitete…

4 Stunden ago

Serverausfall führt zu Insolvenz

Unternehmen sind durch Ausfälle verwundbar. Hybride Infrastrukturen machen den früheren Anker Rechenzentrum überflüssig, betont Andreas…

22 Stunden ago

SSD fördert Green IT

Ökologische Fragen, Lieferkettenprobleme und Energiekosten erfordern Green IT. Bei Storage gibt es Möglichkeiten zum Energiesparen,…

22 Stunden ago