Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Google lancia kvmCTF: $250.000 per vulnerabilità Zero-Day

Google ha recentemente annunciato il lancio di kvmCTF, un nuovo programma di bug bounty dedicato alla sicurezza di KVM.
Google lancia kvmCTF: $250.000 per vulnerabilità Zero-Day
Google ha recentemente annunciato il lancio di kvmCTF, un nuovo programma di bug bounty dedicato alla sicurezza di KVM.
Francesco Messina
Pubblicato il 3 lug 2024
Link copiato negli appunti

Google ha recentemente annunciato il lancio di kvmCTF bug bounty KVM Kernel-based Virtual Machine offre premi significativi

KVM, che ha una presenza consolidata da oltre 17 anni Android Google Cloud rafforzare la collaborazione nella comunità della sicurezza informatica e migliorare ulteriormente questo strato di protezione vitale

Il programma kvmCTF è simile a kernelCTF, che si concentra sulle vulnerabilità del kernel Linux, ma con un focus specifico sui bug

I ricercatori di sicurezza che partecipano al programma avranno accesso a un ambiente di laboratorio controllato per testare exploit e catturare flag. A differenza di altri programmi simili, kvmCTF si concentra esclusivamente su vulnerabilità zero-day

Ecco le ricompense offerte dal programma

Le ricompense offerte dal programma sono suddivise in base alla gravità delle vulnerabilità scoperte:

  • Escape completo dalla macchina virtuale
  • Scrittura arbitraria in memoria
  • Lettura arbitraria di memoria
  • Scrittura relativa di memoria
  • Denial of service (DoS)
  • Lettura relativa di memoria

L'infrastruttura di kvmCTF è ospitata sulla Bare Metal Solution (BMS) di Google, sottolineando l'impegno verso standard di sicurezza elevati. I partecipanti potranno prenotare fasce orarie per accedere alla macchina virtuale ospite e tentare un attacco guest-to-host. L'obiettivo è sfruttare una vulnerabilità zero-day nel sottosistema KVM del kernel dell'host.

Marios Pomonis, software engineer di Google, ha spiegato:

In caso di successo, l'attaccante otterrà un flag che comprova lo sfruttamento della vulnerabilità. La gravità dell'attacco determinerà l'ammontare della ricompensa, basata sul sistema a livelli spiegato in precedenza. Tutti i report verranno valutati attentamente caso per caso.

Per garantire la sicurezza e la trasparenza, Google riceverà i dettagli delle vulnerabilità zero-day scoperte solo dopo il rilascio delle patch ufficiali, assicurando la condivisione simultanea delle informazioni con la comunità open-source. Per partecipare, i ricercatori devono consultare le regole di kvmCTF, che includono informazioni dettagliate sulla prenotazione degli slot, la connessione alla macchina virtuale ospite, l'ottenimento di flag, l'associazione di violazioni KASAN ai livelli di ricompensa e le istruzioni dettagliate sulla segnalazione delle vulnerabilità.

Ti consigliamo anche

Google: nuovo capo Gemini, quale sarà la prossima evoluzione?
AI

Google: nuovo capo Gemini, quale sarà la prossima evoluzione?
Google Maps consentirà di pianificare vacanze con gli screenshot
Google

Google Maps consentirà di pianificare vacanze con gli screenshot
Google presenta nuova famiglia di modelli di ragionamento AI
Google

Google presenta nuova famiglia di modelli di ragionamento AI
Google Slides: annunciati nuovi miglioramenti per l’app
Google

Google Slides: annunciati nuovi miglioramenti per l’app