Google vient de lancer un concours de bug bounty avec une récompense maximale de 250 000 dollars. Le concours vise à trouver des failles dans l’hyperviseur open source KVM (Kernel-based Virtual Machine). Cependant, les chercheurs en sécurité peuvent obtenir cette somme pour une attaque guest-to-host réussie.
Verser stimuler la découverte de faillesGoogle a créé un programme de récompense. La première place peut rapporter 250 000 $. Ce concours est organisé comme une capture du drapeau. Les participants se connectent en tant qu’invités et recherchent des vulnérabilités zero-day dans KVM.
KVM, un projet collaboratif
KVM est un projet open source pris en charge par Google. Depuis 2007, il est inclus dans Linux. KVM permet aux processeurs Intel et AMD de exécuter plusieurs machines virtuelles. Cette émulation matérielle est personnalisable pour différents systèmes d’exploitation. Google utilise KVM pour Android et Google Cloud pour souligner son importance à leurs yeux.
Annoncé en octobre dernier, la compétition kvmCTF Le concours a officiellement débuté le 27 juin. Les participants doivent d’abord réserver des créneaux horaires en UTC. Ils se connectent à la machine virtuelle invitée sur un hôte bare metal. Ensuite, ils tentent une attaque invité vers hôte.
L’objectif est de trouver une vulnérabilité zero-day dans le sous-système KVM du noyau hôte. Les exploits dans l’émulateur QEMU ou via des techniques hôte-à-KVM ne sont pas éligibles. Les règles du concours expliquent le processus depuis le téléchargement des fichiers jusqu’à la fourniture de la preuve d’exploitation.
Prix et catégories
Le blog de sécurité de Google a publié les récompenses pour cette prime de bug le 27 juin. Les prix varient en fonction de la gravité de la vulnérabilité exploitée..
Une évasion complète La valeur de la machine virtuelle est de 250 000 $. Une écriture de mémoire arbitraire vaut 100 000 $. Une lecture de mémoire arbitraire et une écriture de mémoire relative valent chacune 50 000 $. Un déni de service vaut 20 000 $ tandis qu’une lecture de mémoire relative vaut 10 000 $.
Les récompenses ne sont pas cumulatives.. En conséquence, les hackers éthiques ne reçoivent que la récompense finale, sans aucune étape intermédiaire. La première soumission réussie est le seul gagnantÀ ce jour, les organisateurs n’ont reçu aucune soumission, selon le canal Discord kvmCTF.
En bref, Google montre son engagement envers sécuriser ses technologies Avec ce concours, Google espère attirer les chercheurs en sécurité en offrant des récompenses substantielles. Ce programme de chasse aux bugs pourrait renforcer la sécurité de KVM. Cela bénéficiera à une large communauté d’utilisateurs et sécurisera les plateformes utilisant KVM.
Partager l’article :
Facebook
LinkedIn
Notre blog est alimenté par les lecteurs. Lorsque vous effectuez un achat via des liens sur notre site, nous pouvons percevoir une commission d’affiliation.
