谷歌推出新的KVM漏洞奖励计划,最高赏金25万美元
2024-7-2 17:27:22 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF,目的是助理找到和解决 KVM 管理程序中的漏洞,最高赏金25万美元。

kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访问托管在实验环境中的 guest VM,并尝试执行 guest-to-host 攻击。谷歌希望该项目有助于找到虚拟机逃逸、任意代码执行漏洞、信息泄露问题以及拒绝服务漏洞。

谷歌在博客文章中提到,“攻击的目标必须是利用主机内核KVM子系统中的一个 0day。如成功利用,则攻击者将夺得一面旗子,证明他们成功利用该漏洞。”

如参与者能找到完全的VM逃逸,则可获得赏金25万美元;如找到任意内存写利用,则获得10万美元;如找到任意内存读或相关的内存写利用,则获得5万美元;如找到拒绝服务攻击,则最高可获得2万美元;如找到相关的内存读漏洞,则最高可获得1万美元。

KVM 广泛用于消费者和企业解决方案中,包括安卓和谷歌云平台等,而这也是谷歌希望增强其安全性的原因所在。

更多信息,可参见:https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html?m=1

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌发布漏洞奖励计划和其它举措,保护AI安全

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

谷歌提高Linux内核漏洞奖励金,最高133337美元

谷歌 Nest 和 Fitbit 漏洞奖励翻番

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

原文链接

https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519949&idx=3&sn=9ad23a7958936b34139856b555d79794&chksm=ea94bfa7dde336b18b8f1704248e65771ec3abfe05106214615b0be0a21e73c95fdf2eb0d85f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh