谷歌推出新的KVM漏洞奖励计划,最高赏金25万美元

最新推荐文章于 2024-07-12 18:32:10 发布
最新推荐文章于 2024-07-12 18:32:10 发布
阅读量190 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519949&idx=3&sn=9ad23a7958936b34139856b555d79794&chksm=eb7c71d0e179f1a1b93d4c5ccbac1885f3553ad5deb3efaa796e52f0b73b472bcc24cc800456&scene=126&sessionid=0
版权

41c13d5a98e489bb0fbd23156f82f808.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

f649a39fbbb786fa7b2fc4fe06bea329.gif

谷歌宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF,目的是助理找到和解决 KVM 管理程序中的漏洞,最高赏金25万美元。

7b9b18336ea46cc32ca12c7bed94601d.gif

kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访问托管在实验环境中的 guest VM,并尝试执行 guest-to-host 攻击。谷歌希望该项目有助于找到虚拟机逃逸、任意代码执行漏洞、信息泄露问题以及拒绝服务漏洞。

谷歌在博客文章中提到,“攻击的目标必须是利用主机内核KVM子系统中的一个 0day。如成功利用,则攻击者将夺得一面旗子,证明他们成功利用该漏洞。”

如参与者能找到完全的VM逃逸,则可获得赏金25万美元;如找到任意内存写利用,则获得10万美元;如找到任意内存读或相关的内存写利用,则获得5万美元;如找到拒绝服务攻击,则最高可获得2万美元;如找到相关的内存读漏洞,则最高可获得1万美元。

KVM 广泛用于消费者和企业解决方案中,包括安卓和谷歌云平台等,而这也是谷歌希望增强其安全性的原因所在。

更多信息,可参见:https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html?m=1。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌发布漏洞奖励计划和其它举措,保护AI安全

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

谷歌提高Linux内核漏洞奖励金,最高133337美元

谷歌 Nest 和 Fitbit 漏洞奖励翻番

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

原文链接

https://www.securityweek.com/google-offering-250000-for-full-vm-escape-in-new-kvm-bug-bounty-program/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

660b9b80a5a28dc8296049d64a1eea54.jpeg

87137c36c7d0c6ee0eca6d7d6fc248f1.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   9f0549bcb5a4b9b33f8d82fa2db294a3.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2024 年如何成为一名成功的漏洞赏金猎人?成长总结以及相关资料推荐
代码讲故事
11-16 372
2024 年如何成为一名成功的漏洞赏金猎人?成长总结以及相关资料推荐
国外漏洞赏金各大平台所有的最资产及子域
09-01
【标题】"国外漏洞赏金各大平台所有的最资产及子域"主要涉及到的是网络安全领域中的一个重要环节——漏洞赏金计划,以及如何获取和利用这些计划的相关资产与子域信息。漏洞赏金计划是由各大互联网公司设立的一种...
谷歌漏洞悬赏奖金提高了五倍,最高达 15.1 万美元
FreeBuf_的博客
07-12 278
谷歌(Google)宣布,对通过漏洞奖励计划报告的系统和应用程序中发现的漏洞奖励金额将提高五倍,单个安全漏洞最高奖励金额为 151515 美元。"谷歌表示:"随着时间的推移,我们的系统已经变得更加安全,我们知道发现漏洞需要更长的时间--有鉴于此,我们非常高兴地宣布,我们将把奖励金额提高5倍。最高奖励金额为 "在我们最敏感的产品中发现 RCE,奖励金额为 101,010 美元,如果报告质量优异,则奖励金额为 1.5 倍 = 151,515 美元"。
1Password 将最高漏洞奖励调高至100万美元
smellycat000的专栏
03-11 124
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士密码管理软件厂商1Password 宣布称,如有研究员可窃取机密则可获得最高100万美元的奖励最高奖励是该公司在 Bugcrowd 多...
谷歌2022年共发放1200万美元赏金,单个最高60.5万美元
smellycat000的专栏
02-23 953
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士谷歌发布2022年的漏洞奖励计划 (VRPs) 回顾,共计修复2900多个漏洞,为遍布68个国家的703名研究员发放1200万美元,单个最高漏洞奖励为安卓项目的60.5万美元。01安卓漏洞奖励文章指出,单个最高奖励由研究员 gzobqq 获得,该研究员在安卓中发现了由五个漏洞(CVE-2022-20427、CVE-2022-20428、CVE-2...
想赚dollar?——海外各大漏洞赏金平台分析
ooooooih的博客
04-28 1298
最近有一个群友在挖海外的漏洞平台,赚的都是美刀,可把我羡慕坏了。但是和别人也不是很熟悉,不好打探别人的赚钱秘诀,只能自己去查资料了,下面总结一下我找到了一些漏洞赏金平台,以及它们各自的一些特点。
谷歌系统和应用的最高漏洞奖励提升至5倍,达151k美元
smellycat000的专栏
07-12 142
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士谷歌宣布将通过漏洞奖励计划 (VRP) 报送的系统和应用奖励提升至原来的5倍,最高赏金达151515美元。谷歌表示,“随着我们的系统变得越来越安全,我们知道找到漏洞所花费的时间也越来越长,因此我们很高兴宣布将漏洞奖励提升至5倍。”最高赏金由“最敏感产品中的RCE漏洞所获得101010美元,加上质量出色的漏洞报告的1.5倍组成”。只有从协调世界时 ...
FTC 推出AI声音克隆欺诈检测挑战赛,最高奖励2.5万美元
smellycat000的专栏
01-08 57
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士美国联邦贸易委员会 (FTC) 推出“声音克隆挑战”公开竞赛活动,参加人员如能提出保护客户免受AI语音克隆欺诈活动的措施,则可获得最高2.5万美元的赏金。这项挑战活动在2023年11月中旬发布。随着人工智能改进了文本转语音的能力,对语音克隆技术的滥用也更加深入,这项活动旨在找到对抗这种滥用的方法。AI 可分析目标的音频,提取唯一的语音特征,之后使...
微软、谷歌和Atlassian全都调高了漏洞报告奖励 ​​​​
永远在学习Linux之路上
12-07 186
GitLab与其他多家公司一道,纷纷增加对研究人员发现并报告软件漏洞的奖金。两年来,微软、谷歌和Atlassian全都调高了漏洞报告奖励。 DevOps平台GitLab宣布已将关键漏洞赏金上调75%,承诺为关键问题支付2万到3.5万美元,并调高其他严重漏洞的奖金支付上限(调高50%)。 GitLab与其他多家公司一道,纷纷增加对研究人员发现并报告软件漏洞的奖金。两年来,微软、谷歌和Atlassian全都调高了漏洞报告奖励。GitLab安全副总裁Johnathan Hunt称,随着企业逐渐认识到漏洞奖励
谷歌推出的安全试点计划,禁止员工访问互联网
smellycat000的专栏
07-20 295
聚焦源代码安全,网罗国内外最资讯!编译:代码卫士互联网是危险的,要是不用会怎样?而这是全球最大的互联网企业之一谷歌向员工提供的有点讽刺的建议。CNBC 广播公司的记者 Jennifer Elias 报道称,谷歌“正在启动一项的试点计划,某些员工将在工作期间无法使用联网的桌面 PC”。CNBC 援引一份内部备忘录提到,“谷歌人是被攻击的常客”,而好的应对方式就是不要出现在互联网上。和普通人相比...
微软漏洞赏金计划
08-01
微软2014年发布了微软漏洞赏金计划,该计划主要是给白帽子黑客提交漏洞使用,文档内有漏洞的提交要求,以及微软官方的联系方式
diodb:开源漏洞披露和漏洞赏金计划数据库
04-27
prepare.io数据库(diodb) 什么是diodb? 真实的,由社区提供的,与供应商无关的目录,其中包含...如果您要在添加,更或删除的VDP或错误赏金计划信息,我们希望您通过发出“拉取请求”做出贡献。 如果您是Githu
网络安全的金钥匙:漏洞赏金计划全解析
07-08
网络安全(Cybersecurity)指的是保护互联网连接的系统和数据不受攻击、破坏或未经授权的访问的一系列实践和技术。随着技术的发展,网络安全已经成为个人、企业和政府组织都必须面对的重要问题。...
ASP外观专利图像检索平台(源代码+论文).rar
07-21
ASP外观专利图像检索平台(源代码+论文)
C++课程设计:电煤气管理系统【源码+文档】
07-21
C++课程设计:电煤气管理系统【源码+文档】 本程序是一个水电气管理信息系统,能够对高校的水电气费用进行管理, 包括了成员的基本信息,如学号、编号、姓名、成员水电气的用量等。程序的用途包括缴纳水电气费、查询一个同学水电气费用量、查看所有同学的缴费情况、增加学生信息、删除学生信息、退出系统等。在设计时也考虑到学生和教师在用水电气时的不同,学生可以免费使用一定额度的水电气,超过这个额度的以后必须付费,且付费部分水电气费的价格要高于教工的收费标准,该措施的实行是为了鼓励同学们节约资源,以免造成不必要的资源浪费。该软件主要是为了学校的管理人员提供便捷,以更快的完成水电气费用的收缴。该软件本着简洁明了,实用稳定为一体进行设计。 系统将实现以下功能: (1)实现对用户信息的录入; (2)实现水电煤气数据的录入; (3)实现计算并查询用户应缴费用,查询未缴纳费用的名单; (4)实现对人员的删除和添加;
ASP+ACCESS网上动态同学录系统(源代码+论文+系统说明+答辩PPT).rar
07-21
ASP+ACCESS网上动态同学录系统(源代码+论文+系统说明+答辩PPT)
avaloniassification-mas笔记
最新发布
07-21
avalonia
漏洞赏金计划:提升软件安全的双赢策略
软件开发人员越来越多地采用漏洞赏金计划,这种机制通过提供奖励来鼓励外部安全专家发现并报告软件中存在的错误,从而提高系统的安全性。作者Carsten Bienz和Steffen Juranek在挪威商学院的研究中构建了一个理论模型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值