最高可达 25 万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金
2024-7-3 14:47:39 Author: www.freebuf.com(查看原文) 阅读量:13 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2023 年 10 月,为提高基于内核的虚拟机(KVM)管理程序的安全性,谷歌推出一项新的漏洞奖励计划(VRP)——kvmCTF。

1719991422_6684fc7e59638780a2ca5.png!small

据悉,KVM 是一个开源管理程序,目前已有超过 17 年的发展历史,是消费者和企业环境中的一个重要组件,为安卓和谷歌云平台提供动力。作为 KVM 的积极和重要贡献者,谷歌开发了 kvmCTF 作为一个协作平台,帮助识别和修复安全漏洞。

与谷歌针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样,kvmCTF 的重点是基于内核的虚拟机(KVM)管理程序中的虚拟机可触及安全漏洞,参加该计划的安全研究人员将获得一个可控的实验室环境,以便其展示其捕获可利用安全漏洞的标志。

值得注意的是,与其他漏洞奖励计划不同,kvmCTF 仅仅专注于零日安全漏洞,不会奖励针对已知漏洞的漏洞利用。kvmCTF 的奖励级别如下:

完全虚拟机逃逸:25 万美元;
任意内存写入:100000 美元;
任意内存读取:50000 美元;
相对内存写入:50000 美元;
拒绝服务:20000 美元;
相对内存读取:10000 美元。

谷歌软件工程师 Marios Pomonis 表示,参赛者可以预约访问客户虚拟机的时间段,并尝试执行客户对主机攻击,但是其攻击的目的必须是利用主机内核 KVM 子系统中的零日漏洞。如果攻击成功,“攻击者”将获得一个标志,以证明其成功利用了安全漏洞。kvmCTF 计划会根据攻击的严重程度决定奖励金额的大小。(注意:只有在上游补丁发布后,谷歌才会收到已发现零日漏洞的详细信息,以确保与开源社区同步共享信息)

最后,谷歌方面强调,在开始参与 kvmCTF 计划前,参与者必须查看、了解清楚 kvmCTF 的各项规则,其中包括有关预订时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规行为映射到奖励层级的信息,以及报告漏洞的详细说明。

参考文章:

https://www.bleepingcomputer.com/news/security/google-now-pays-250-000-for-kvm-zero-day-vulnerabilities/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/405089.html
如有侵权请联系:admin#unsafe.sh