Google теперь платит $250 тыс. за уязвимости нулевого дня Kernel-based Virtual Machine (KVM)

Google запустила новую программу kvmCTF по вознаграждению за уязвимости нулевого дня в Kernel-based Virtual Machine (KVM). Максимальное вознаграждение в её рамках составляет $250 тысяч.Google активно использует KVM в сервисе Google Cloud и в платформах Android и ChromeOS (так, CrosVM основан на KVM).

Чтобы получить вознаграждение, исследователю необходимо будет продемонстрировать взлом в контролируемой среде. В отличие от других программ вознаграждения за уязвимости, kvmCTF фокусируется на атаках с гостевой на хостовую систему и не вознаграждает уязвимости QEMU или хостовые уязвимости KVM.Программа предусматривает следующие уровни выплат:побег из виртуальной машины (full VM escape): $250 тыс.;запись в произвольную область памяти (Arbitrary memory write): $100 тыс.;чтение из произвольной области (Arbitrary memory read): $50 тыс.;записи в смежные области памяти (Relative memory write): $50 тыс.;DoS-уязвимость: $20 тыс.;чтение из смежной области памяти (Relative memory read): $10 тыс.

Отмечается, что Google получит информацию о найденных уязвимостях только после выпуска соответствующих патчей. Это гарантирует одновременное распространение информации среди open source-сообщества.Желающим поучаствовать необходимо изучить правила kvmCTF, включая информацию о бронировании временных слотов, подключении к гостевой виртуальной машине, получении флагов и так далее.