详细内容或原文请订阅后点击阅览
kvmCTF:来自 Google 的新 Bug 赏金,奖金高达 250,000 美元
Google 正在为 KVM 中的虚拟逃生引入真正的奖励。
来源:安全实验室新闻频道Google 正在为 KVM 中的虚拟逃生引入真正的奖励。
Google 宣布推出名为 kvmCTF 的新 Bug Bounty 计划。该计划于 2023 年 10 月首次宣布,旨在提高基于内核的虚拟机 (KVM) 虚拟机管理程序的安全性,并对超出虚拟机范围的漏洞提供高达 25 万美元的奖励。
谷歌 宣布推出 漏洞赏金 基于内核的虚拟机KVM 是一个开源虚拟机管理程序,拥有超过 17 年的开发历史。 KVM 在消费者和企业环境中发挥着关键作用,支持 Android 和 Google Cloud 平台。
与 kernelCTF 类似,kernelCTF 专注于识别 Linux 内核中的漏洞,kvmCTF 专注于可从虚拟机访问的 KVM 管理程序中的漏洞。主要目标是从访客系统向主机系统执行成功的攻击,而QEMU漏洞或KVM主机漏洞将不会获得奖励。
项目参与者提供了一个受控的实验室环境,他们可以在其中使用漏洞来捕获标志。 kvmCTF 计划专注于零日漏洞,不奖励针对已知漏洞的利用。
零日漏洞kvmCTF 基础设施托管在 Google 裸机解决方案 (Google BMS) 上,这强调了该计划对高安全标准的承诺。 kvmCTF 为识别各种级别的漏洞提供奖励,包括任意代码执行和虚拟机逃逸。
Google 裸机解决方案 谷歌 BMS奖励等级如下:
- 完整虚拟机越界:$250,000;任意内存写入:$100,000;任意内存读取:$50,000;相对内存写入:$50,000;拒绝服务:$20,000;相对相对内存读取:$10,000