Google начнёт выплачивать вознаграждения за выявление уязвимостей в гипервизоре KVM
Дата публикации:Wed, 03 Jul 2024 13:35:37 +0300
Компания Google представила инициативу kvmCTF, в рамках которой исследователи безопасности могут получить денежное вознаграждение за выявление уязвимостей в гипервизоре KVM (Kernel-based Virtual Machine). Интерес Google к KVM обусловлен использованием данного гипервизора в сервисе Google Cloud, а также в платформах Android и ChromeOS (CrosVM основан на KVM). Для получения вознаграждения должен быть продемонстрирован взлом специально подготовленного окружения CTF (Capture the Flag) на базе свежего ядра Linux, выполняющего виртуальную машину, доступ к которой предоставляется по заявкам. Атакующему предлагается эксплуатировать уязвимость в подсистеме KVM в ядре Linux, обеспечивающем работу хост-системы в данном окружении.
За выявление ранее неизвестной уязвимости, дающей возможность выйти из виртуальной машины, предусмотрена выплата 250 тысяч долларов, а за уязвимости, позволяющей осуществить запись в произвольную область памяти, - 100 тысяч долларов. За уязвимости, приводящие к чтению из произвольной области памяти или записи в смежные области памяти, заявлена выплата 50 тысяч долларов, за DoS-уязвимость - 20 тысяч долларов, а за чтение из смежной области памяти - 10 тысяч долларов. Вознаграждение за запись или чтение произвольной области памяти можно получить изменив или получив значение конкретного адреса в памяти, а в случае смежной области - за ошибки, распознаваемые отладочным инструментом KASAN (Kernel address sanitizer), такие как переполнение буфера или обращение к уже освобождённой области памяти. Вознаграждение за DoS-уязвимость выплачивается при выявлении разыменования нулевого указателя (null-ptr-deref в KASAN).
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=61481