最高可达 25 万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金

2023 年 10 月,为提高基于内核的虚拟机(KVM)管理程序的安全性,谷歌推出一项新的漏洞奖励计划(VRP)——kvmCTF。

据悉,KVM 是一个开源管理程序,目前已有超过 17 年的发展历史,是消费者和企业环境中的一个重要组件,为安卓和谷歌云平台提供动力。作为 KVM 的积极和重要贡献者,谷歌开发了 kvmCTF 作为一个协作平台,帮助识别和修复安全漏洞。

与谷歌针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样,kvmCTF 的重点是基于内核的虚拟机(KVM)管理程序中的虚拟机可触及安全漏洞,参加该计划的安全研究人员将获得一个可控的实验室环境,以便其展示其捕获可利用安全漏洞的标志。

值得注意的是,与其他漏洞奖励计划不同,kvmCTF 仅仅专注于零日安全漏洞,不会奖励针对已知漏洞的漏洞利用。kvmCTF 的奖励级别如下:

  1. 完全虚拟机逃逸:25 万美元;
  2. 任意内存写入:100000 美元;
  3. 任意内存读取:50000 美元;
  4. 相对内存写入:50000 美元;
  5. 拒绝服务:20000 美元;
  6. 相对内存读取:10000 美元。

谷歌软件工程师 Marios Pomonis 表示,参赛者可以预约访问客户虚拟机的时间段,并尝试执行客户对主机攻击,但是其攻击的目的必须是利用主机内核 KVM 子系统中的零日漏洞。如果攻击成功,“攻击者”将获得一个标志,以证明其成功利用了安全漏洞。kvmCTF 计划会根据攻击的严重程度决定奖励金额的大小。(注意:只有在上游补丁发布后,谷歌才会收到已发现零日漏洞的详细信息,以确保与开源社区同步共享信息)

最后,谷歌方面强调,在开始参与 kvmCTF 计划前,参与者必须查看、了解清楚 kvmCTF 的各项规则,其中包括有关预订时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规行为映射到奖励层级的信息,以及报告漏洞的详细说明。


转自FreeBuf,原文链接:https://www.freebuf.com/news/405089.html

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容