谷歌为 KVM 零日漏洞悬赏最高 25 万美元


谷歌宣布推出 kvmCTF,一项针对基于内核的虚拟机 (KVM) 管理程序的漏洞奖励计划 (VRP),于 2023 年10 月首次发布。

KVM 是一款强大的虚拟机管理程序,拥有超过 15 年的开源开发历史,广泛应用于消费者和企业领域,包括 Android 和 Google Cloud 等平台。作为 KVM 的积极和关键贡献者,谷歌开发了 kvmCTF 作为协作平台来帮助识别和修复漏洞,从而进一步强化这一基本安全边界。

根据介绍,与针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样,kvmCTF 旨在帮助识别和解决基于内核的虚拟机 (KVM) 管理程序中的漏洞。值得注意的是,kvmCTF 的重点是零日漏洞,不会奖励针对已知漏洞的漏洞。只有在上游补丁发布后,谷歌才会收到发现的零日漏洞的详细信息,确保信息同时与开源社区共享。

kvmCTF 使用 Google Bare Metal Solution (BMS) 环境来托管其基础架构。kvmCTF 的奖励等级如下:

  • 虚拟机完全逃逸:25 万美元
  • 任意内存写入:100,000 美元
  • 任意内存读取:50,000 美元
  • 相对内存写入:50,000 美元
  • 拒绝服务:20,000 美元
  • 相对内存读取:10,000 美元

感兴趣的用户可查看 kvmCTF 规则,其中包括有关预留时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规映射到奖励等级的信息,以及有关报告漏洞的详细说明。


相關推薦

2023-10-09

钓鱼即服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已经为最近被攻击利用的libwebp安全漏洞分配了新的最高CVE编号(CVE-2023-5129)。这个零日漏洞在两周前修补过。【V

2023-02-25

m(VRP)是 Google 为了提高其产品和服务的安全性,向找出漏洞的安全研究员支付奖金的一项计划。在 2021 年,Google 就通过 VRP 向安全研究员发放了 870 万美元的漏洞奖励。时间来到了 2023 年,Google 则是公布了 2022 年的年度回顾。

2023-07-24

Business Insider 获得了一份谷歌员工之间共享的内部电子表格,数据表明 2022 年谷歌员工的总薪酬中位数为 279,802 美元。其中,软件工程师去年的最高基本工资为 718,000 美元,成为该公司薪资最高的职位。 该表格包含谷歌公司 2022

2023-11-16

发者来使用 Rust 重写前端代码格式化工具 Prettier,并悬赏 1 万美元。 使用 Rust 实现更快、更美观的 printers 引起了广泛关注。但主要问题在于,它们都无法与 prettier 的长尾格式化逻辑相匹配。 如果用 Rust 编写的项目能通

2023-09-13

买设备进行测试。若提交了符合守护计划收录要求的有效漏洞即可报销产品购买费用,否则不予报销(提供发票)。 漏洞利用要求 官方最新稳定版ROM 浏览器版本通过小米应用商店更新到最新版本 保持默认的系统设置,

2023-07-26

参与组织比有执法部门介入的组织平均多经历了 33 天的漏洞生命周期。且相较而言,选择让执法部门介入的勒索软件受害者平均节省了 47 万美元的违规成本。尽管如此,研究中仍有 37% 的勒索软件受害者,在被勒索软件攻击

2022-09-15

据外媒 arstechnica 报道,谷歌已经输掉了与欧盟监管机构的斗争。9 月 14 日,欧盟普通法院作出裁决,维持了 2018 年 7 月对谷歌垄断行为的创纪录罚款,罪名是“将谷歌搜索 / Chrome 与 Android 系统捆绑在一起”。 当时是 43.4 亿

2023-05-12

谷歌在昨晚的 Google I/O 2023 大会上发布了用于 Android Studio 的 AI 编程助手 Studio Bot——支持生成代码和修复错误。Studio Bot 目前处于预览阶段,已集成到 Android Studio Hedgehog。 Studio Bot 由谷歌推出的基础编程模型 Codey 提供

2023-01-04

该网站表示,虽然这些数据是针对软件工程师的,但薪酬最高的公司和地点通常也适用于各种技术角色。且薪酬和水平取决于各种因素,包括面试表现、过去的经验、竞争性报价等。并声明称,这些薪酬数字主要是针对那些薪酬

2022-10-01

得了大约 15000 star,据称其活跃用户中的 10000 家公司包括谷歌、微软、红帽、腾讯、字节跳动和 Mozilla。 Penpot CEO 兼联合创始人 Pablo Ruiz-Múzquiz 表示,在 Adobe 宣布收购 Figma 之前,他们产品的注册人数保持着每月 40% 左右的增长

2023-01-11

具有 1200 万像素(前代 Camera Module 2 则是 800 万像素)、最高可拍摄 1080P @50 帧的视频、新模块支持高动态范围(HDR)摄影和自动对焦,并且可以输出 RAW10 文件格式。 综合上面这些数据来看,Camera Module 3 应该能够拍摄出具有更

2023-06-18

虽然 IO_uring 是近几年 Linux 内核的最大创新之一,有助于提供更高效和高性能的 I/O,但它也存在各种安全漏洞。由于持续的安全问题,该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。 Google 安全博客指出,Google 漏

2023-09-19

美国加利福尼亚州总检察长宣布,谷歌将支付 9300 万美元,以了结一项指控其违反美国消费者保护法的隐私诉讼。 “谷歌告诉用户,一旦他们选择退出,谷歌就不会追踪他们的位置;但它却阳奉阴违,继续使用位置数据追踪

2023-08-07

成、增强 Go 模块支持、改进 AI 驱动的 Go 问题检测和零日漏洞监控等内容。 值得一提的是,除了新增对 Go 生态系统的支持外。Socket 还宣布了一个用于在下载前检查开源包是否安全的浏览器扩展,目前可用于 Chrome、Edge