谷歌为 KVM 零日漏洞悬赏最高 25 万美元

2024年 7月 7日 56.9k 0

谷歌宣布推出 kvmCTF,一项针对基于内核的虚拟机 (KVM) 管理程序的漏洞奖励计划 (VRP),于 2023 年10 月首次发布。

KVM 是一款强大的虚拟机管理程序,拥有超过 15 年的开源开发历史,广泛应用于消费者和企业领域,包括 Android 和 Google Cloud 等平台。作为 KVM 的积极和关键贡献者,谷歌开发了 kvmCTF 作为协作平台来帮助识别和修复漏洞,从而进一步强化这一基本安全边界。

谷歌为 KVM 零日漏洞悬赏最高 25 万美元-1

根据介绍,与针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样,kvmCTF 旨在帮助识别和解决基于内核的虚拟机 (KVM) 管理程序中的漏洞。值得注意的是,kvmCTF 的重点是零日漏洞,不会奖励针对已知漏洞的漏洞。只有在上游补丁发布后,谷歌才会收到发现的零日漏洞的详细信息,确保信息同时与开源社区共享。

kvmCTF 使用 Google Bare Metal Solution (BMS) 环境来托管其基础架构。kvmCTF 的奖励等级如下:

  • 虚拟机完全逃逸:25 万美元
  • 任意内存写入:100,000 美元
  • 任意内存读取:50,000 美元
  • 相对内存写入:50,000 美元
  • 拒绝服务:20,000 美元
  • 相对内存读取:10,000 美元

感兴趣的用户可查看 kvmCTF 规则,其中包括有关预留时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规映射到奖励等级的信息,以及有关报告漏洞的详细说明。

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论