谷歌推出新的KVM漏洞奖励计划，最高赏金25万美元

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF，目的是助理找到和解决 KVM 管理程序中的漏洞，最高赏金25万美元。

kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访问托管在实验环境中的 guest VM，并尝试执行 guest-to-host 攻击。谷歌希望该项目有助于找到虚拟机逃逸、任意代码执行漏洞、信息泄露问题以及拒绝服务漏洞。

谷歌在博客文章中提到，“攻击的目标必须是利用主机内核KVM子系统中的一个 0day。如成功利用，则攻击者将夺得一面旗子，证明他们成功利用该漏洞。”

如参与者能找到完全的VM逃逸，则可获得赏金25万美元；如找到任意内存写利用，则获得10万美元；如找到任意内存读或相关的内存写利用，则获得5万美元；如找到拒绝服务攻击，则最高可获得2万美元；如找到相关的内存读漏洞，则最高可获得1万美元。

KVM 广泛用于消费者和企业解决方案中，包括安卓和谷歌云平台等，而这也是谷歌希望增强其安全性的原因所在。

更多信息，可参见：https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html?m=1。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

谷歌发布漏洞奖励计划和其它举措，保护AI安全

谷歌推出开源软件漏洞奖励计划，提振软件供应链安全

谷歌提高Linux内核漏洞奖励金，最高133337美元

谷歌 Nest 和 Fitbit 漏洞奖励翻番

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

原文链接

https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~