注册
登录
| 关键词: 漏洞 奖励 释道 研究人员 提交 美元 Google 逃逸 获得 利用 |
谷歌宣布扩大其漏洞奖励计划,举办了两项活动,重点关注 Chrome 的 V8 JavaScript 渲染引擎和基于内核的虚拟机 (KVM)。 V8 CTF已经启动,安全研究人员可以通过成功利用在 Google 基础设施上运行的 V8 版本来获得金钱奖励 。 该挑战赛旨在补充 Google 的 VRP,允许识别 JavaScript 引擎中漏洞的研究人员通过向 v8 CTF 提交漏洞来获得额外奖励。参与的研究人员也可以提交针对已知 V8 漏洞的利用。 “如果导致初始内存损坏的错误是您发现的,即从 v8 CTF 提交中使用同一电子邮件地址报告的,我们将将该漏洞视为 0day 提交。所有其他漏洞均被视为 nday 提交。”Google 解释道。 谷歌鼓励发现新漏洞的研究人员首先向 Chrome VRP 报告。根据该计划的规则,提交有效漏洞的安全研究人员有资格获得 10,000 美元的奖励。 “这是对漏洞本身的任何现有奖励之外的奖励。例如,如果您在 V8 中发现一个漏洞,然后为其编写一个漏洞利用程序,那么它就可以符合 Chrome VRP 和 v8 CTF 的资格。”Google 解释道。 Kvm CTF将于今年晚些时候推出,将奖励针对 KVM 中0day和1day漏洞的研究人员,KVM 是 Linux 内核中的开源虚拟化模块,允许其充当虚拟机管理程序。 该活动将重点关注 LTS 内核,并将奖励成功的访客到主机攻击。QEMU 漏洞利用或漏洞目前不在该事件的范围内。 谷歌承诺对导致虚拟机完全逃逸的漏洞给予高达 99,999 美元的奖励,但它也会奖励任意内存写入/读取(分别为 34,999 美元和 24,999 美元)和拒绝服务 (DoS) 漏洞(14,999 美元)。 “请注意,以上奖励不能叠加。例如,如果您提交使用任意内存写入的完整 VM 逃逸漏洞,您将获得 VM 逃逸奖励(99,999 美元),而不是两个单独的奖励(99,999 美元 + 34,999 美元)。”Google 解释道。 参考链接:https://www.securityweek.com/google-expands-bug-bounty-program-with-chrome-cloud-ctf-events/ |
| 本文出处: https://www.toutiao.com/article/7288105558228681268/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
