谷歌宣布推出 kvmCTF,一项针对基于内核的虚拟机 (KVM) 管理程序的漏洞奖励计划 (VRP),于 2023 年10 月首次发布。
KVM 是一款强大的虚拟机管理程序,拥有超过 15 年的开源开发历史,广泛应用于消费者和企业领域,包括 Android 和 Google Cloud 等平台。作为 KVM 的积极和关键贡献者,谷歌开发了 kvmCTF 作为协作平台来帮助识别和修复漏洞,从而进一步强化这一基本安全边界。
根据介绍,与针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样,kvmCTF 旨在帮助识别和解决基于内核的虚拟机 (KVM) 管理程序中的漏洞。值得注意的是,kvmCTF 的重点是零日漏洞,不会奖励针对已知漏洞的漏洞。只有在上游补丁发布后,谷歌才会收到发现的零日漏洞的详细信息,确保信息同时与开源社区共享。
kvmCTF 使用 Google Bare Metal Solution (BMS) 环境来托管其基础架构。kvmCTF 的奖励等级如下:
- 虚拟机完全逃逸:25 万美元
- 任意内存写入:100,000 美元
- 任意内存读取:50,000 美元
- 相对内存写入:50,000 美元
- 拒绝服务:20,000 美元
- 相对内存读取:10,000 美元
感兴趣的用户可查看 kvmCTF 规则,其中包括有关预留时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规映射到奖励等级的信息,以及有关报告漏洞的详细说明。
