聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访问托管在实验环境中的 guest VM,并尝试执行 guest-to-host 攻击。谷歌希望该项目有助于找到虚拟机逃逸、任意代码执行漏洞、信息泄露问题以及拒绝服务漏洞。
谷歌在博客文章中提到,“攻击的目标必须是利用主机内核KVM子系统中的一个 0day。如成功利用,则攻击者将夺得一面旗子,证明他们成功利用该漏洞。”
如参与者能找到完全的VM逃逸,则可获得赏金25万美元;如找到任意内存写利用,则获得10万美元;如找到任意内存读或相关的内存写利用,则获得5万美元;如找到拒绝服务攻击,则最高可获得2万美元;如找到相关的内存读漏洞,则最高可获得1万美元。
KVM 广泛用于消费者和企业解决方案中,包括安卓和谷歌云平台等,而这也是谷歌希望增强其安全性的原因所在。
更多信息,可参见:https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html?m=1。
https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~