Google теперь платит $250 тыс. за уязвимости нулевого дня Kernel-based Virtual Machine (KVM)
habr.comGoogle запустила новую программу kvmCTF по вознаграждению за уязвимости нулевого дня в Kernel-based Virtual Machine (KVM). Максимальное вознаграждение в её рамках составляет $250 тысяч.Google активно использует KVM в сервисе Google Cloud и в платформах Android и ChromeOS (так, CrosVM основан на KVM).
Чтобы получить вознаграждение, исследователю необходимо будет продемонстрировать взлом в контролируемой среде. В отличие от других программ вознаграждения за уязвимости, kvmCTF фокусируется на атаках с гостевой на хостовую систему и не вознаграждает уязвимости QEMU или хостовые уязвимости KVM.Программа предусматривает следующие уровни выплат:побег из виртуальной машины (full VM escape): $250 тыс.;запись в произвольную область памяти (Arbitrary memory write): $100 тыс.;чтение из произвольной области (Arbitrary memory read): $50 тыс.;записи в смежные области памяти (Relative memory write): $50 тыс.;DoS-уязвимость: $20 тыс.;чтение из смежной области памяти (Relative memory read): $10 тыс.