长亭百川云 - 文章详情

谷歌推出新的KVM漏洞奖励计划,最高赏金25万美元

代码卫士

34

2024-07-13

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF,目的是助理找到和解决 KVM 管理程序中的漏洞,最高赏金25万美元。

kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访问托管在实验环境中的 guest VM,并尝试执行 guest-to-host 攻击。谷歌希望该项目有助于找到虚拟机逃逸、任意代码执行漏洞、信息泄露问题以及拒绝服务漏洞。

谷歌在博客文章中提到,“攻击的目标必须是利用主机内核KVM子系统中的一个 0day。如成功利用,则攻击者将夺得一面旗子,证明他们成功利用该漏洞。”

如参与者能找到完全的VM逃逸,则可获得赏金25万美元;如找到任意内存写利用,则获得10万美元;如找到任意内存读或相关的内存写利用,则获得5万美元;如找到拒绝服务攻击,则最高可获得2万美元;如找到相关的内存读漏洞,则最高可获得1万美元。

KVM 广泛用于消费者和企业解决方案中,包括安卓和谷歌云平台等,而这也是谷歌希望增强其安全性的原因所在。

更多信息,可参见:https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html?m=1。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

谷歌发布漏洞奖励计划和其它举措,保护AI安全

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

谷歌提高Linux内核漏洞奖励金,最高133337美元

谷歌 Nest 和 Fitbit 漏洞奖励翻番

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

原文链接

https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2