Google заплатит за найденные в гипервизоре KVM дыры до $250 тыс.

 

Компания Google, по сообщению ресурса DarkReading, дала старт соревнованию Bug Bounty по поиску уязвимостей нулевого дня в гипервизоре KVM (Kernel-based Virtual Machine) с открытым исходным кодом. Сумма вознаграждений за успешные атаки варьируется от $10 тыс. до $250 тыс.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

KVM обеспечивает виртуализацию в среде Linux. Компания Google является активным участником проекта KVM, применяя гипервизор в различных продуктах и системах, включая Android и облачную платформу Google Cloud.

Состязание по взлому KVM проводится по модели Capture the Flag («Захват флага»). Участники резервируют временные интервалы для входа в виртуальную машину, работающую на «голом железе», а затем пытаются провести атаку «гость — хост». Целью является использование уязвимости нулевого дня в KVM. В случае успеха нападающий получит «флаг», подтверждающий факт проникновения. Размер вознаграждения определяется серьёзностью найденной дыры:

  • Полный побег из виртуальной машины (Full VM escape) — $250 тыс.;
  • Произвольная запись в память (Arbitrary memory write) — $100 тыс.;
  • Произвольное чтение памяти (Arbitrary memory read) — $50 тыс.;
  • Относительная запись в память (Relative memory write) — $50 тыс.;
  • Отказ в обслуживании (DoS) — $20 тыс.;
  • Относительное чтение памяти (Relative memory read) — $10 тыс.

Подробности об уязвимости нулевого дня будут переданы Google после выпуска соответствующего патча, чтобы гарантировать, что компания получит информацию одновременно с остальным сообществом разработчиков open source.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.kz/1107371
Система Orphus