谷歌宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF，目的是助理找到和解决 KVM 管理程序中的漏洞，最高赏金25万美元。

kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访问托管在实验环境中的 guest VM，并尝试执行 guest-to-host 攻击。谷歌希望该项目有助于找到虚拟机逃逸、任意代码执行漏洞、信息泄露问题以及拒绝服务漏洞。

谷歌在博客文章中提到，“攻击的目标必须是利用主机内核KVM子系统中的一个 0day。如成功利用，则攻击者将夺得一面旗子，证明他们成功利用该漏洞。”

如参与者能找到完全的VM逃逸，则可获得赏金25万美元；如找到任意内存写利用，则获得10万美元；如找到任意内存读或相关的内存写利用，则获得5万美元；如找到拒绝服务攻击，则最高可获得2万美元；如找到相关的内存读漏洞，则最高可获得1万美元。

KVM 广泛用于消费者和企业解决方案中，包括安卓和谷歌云平台等，而这也是谷歌希望增强其安全性的原因所在。

更多信息，可参见：https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html?m=1。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~