Google вводит реальную награду за виртуальный побег в KVM.
Google Для просмотра ссылки Войдиили Зарегистрируйся новой Bug Bounty -программы под названием kvmCTF. Программа, впервые анонсированная в октябре 2023 года, направлена на повышение безопасности гипервизора Для просмотра ссылки Войди или Зарегистрируйся (KVM) и предлагает награды до $250 000 за полные эксплойты, позволяющие выйти за пределы виртуальной машины.
KVM является открытым гипервизором с более чем 17-летней историей разработки. KVM играет ключевую роль как в потребительских, так и в корпоративных средах, поддерживая платформы Android и Google Cloud.
Подобно программе kernelCTF, направленной на выявление уязвимостей в ядре Linux, kvmCTF сосредоточена на уязвимостях в гипервизоре KVM, доступных из виртуальной машины. Основная цель — выполнение успешных атак с гостевой на хостовую систему, при этом уязвимости QEMU или хостовые уязвимости KVM не будут вознаграждаться.
Участникам программы предоставляется контролируемая лабораторная среда, где они могут использовать эксплойты для захвата флагов. Программа kvmCTF ориентирована на уязвимости нулевого дня (zero-day) и не вознаграждает за эксплойты, нацеленные на известные уязвимости.
Инфраструктура kvmCTF размещена в среде Для просмотра ссылки Войдиили Зарегистрируйся ( Google BMS ), что подчеркивает приверженность программы высоким стандартам безопасности. kvmCTF предлагает вознаграждения за выявление уязвимостей различного уровня, включая выполнение произвольного кода и побег из виртуальной машины.
Уровни вознаграждений следующие:
Если атака будет успешной, атакующий получит флаг, подтверждающий его достижение в эксплуатации уязвимости. Размер вознаграждения будет определяться серьёзностью атаки и соответствовать системе уровней вознаграждений. Все отчёты будут тщательно оцениваться в индивидуальном порядке.
Google получит информацию о найденных 0day только после выпуска соответствующих исправлении, что гарантирует одновременное распространение информации среди сообщества открытого исходного кода.
Для Для просмотра ссылки Войдиили Зарегистрируйся участникам необходимо Для просмотра ссылки Войди или Зарегистрируйся kvmCTF, включающими информацию о бронировании временных слотов, подключении к гостевой виртуальной машине, получении флагов, сопоставлении различных нарушений KASAN с уровнями вознаграждений, а также подробные инструкции по отчётности об уязвимостях. Связаться с Google для участия в программе можно в Для просмотра ссылки Войди или Зарегистрируйся
Google Для просмотра ссылки Войди
KVM является открытым гипервизором с более чем 17-летней историей разработки. KVM играет ключевую роль как в потребительских, так и в корпоративных средах, поддерживая платформы Android и Google Cloud.
Подобно программе kernelCTF, направленной на выявление уязвимостей в ядре Linux, kvmCTF сосредоточена на уязвимостях в гипервизоре KVM, доступных из виртуальной машины. Основная цель — выполнение успешных атак с гостевой на хостовую систему, при этом уязвимости QEMU или хостовые уязвимости KVM не будут вознаграждаться.
Участникам программы предоставляется контролируемая лабораторная среда, где они могут использовать эксплойты для захвата флагов. Программа kvmCTF ориентирована на уязвимости нулевого дня (zero-day) и не вознаграждает за эксплойты, нацеленные на известные уязвимости.
Инфраструктура kvmCTF размещена в среде Для просмотра ссылки Войди
Уровни вознаграждений следующие:
- Полный выход за пределы виртуальной машины: $250 000;
- Произвольная запись в память: $100 000;
- Произвольное чтение из памяти (Arbitrary memory read): $50 000;
- Относительная запись в память: $50 000;
- Отказ в обслуживании: $20 000;
- Относительное чтение из памяти (Relative memory read): $10 000.
Если атака будет успешной, атакующий получит флаг, подтверждающий его достижение в эксплуатации уязвимости. Размер вознаграждения будет определяться серьёзностью атаки и соответствовать системе уровней вознаграждений. Все отчёты будут тщательно оцениваться в индивидуальном порядке.
Google получит информацию о найденных 0day только после выпуска соответствующих исправлении, что гарантирует одновременное распространение информации среди сообщества открытого исходного кода.
Для Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru