Google теперь платит $250 тыс. за уязвимости нулевого дня Kernel-based Virtual Machine (KVM)

Google запустила новую программу kvmCTF по вознаграждению за уязвимости нулевого дня в Kernel-based Virtual Machine (KVM). Максимальное вознаграждение в её рамках составляет $250 тысяч.

Google активно использует KVM в сервисе Google Cloud и в платформах Android и ChromeOS (так, CrosVM основан на KVM). Чтобы получить вознаграждение, исследователю необходимо будет продемонстрировать взлом в контролируемой среде. В отличие от других программ вознаграждения за уязвимости, kvmCTF фокусируется на атаках с гостевой на хостовую систему и не вознаграждает уязвимости QEMU или хостовые уязвимости KVM.

Программа предусматривает следующие уровни выплат:

• побег из виртуальной машины (full VM escape): $250 тыс.;

• запись в произвольную область памяти (Arbitrary memory write): $100 тыс.;

• чтение из произвольной области (Arbitrary memory read): $50 тыс.;

• записи в смежные области памяти (Relative memory write): $50 тыс.;

• DoS-уязвимость: $20 тыс.;

• чтение из смежной области памяти (Relative memory read): $10 тыс. 

Отмечается, что Google получит информацию о найденных уязвимостях только после выпуска соответствующих патчей. Это гарантирует одновременное распространение информации среди open source-сообщества.

Желающим поучаствовать необходимо изучить правила kvmCTF, включая информацию о бронировании временных слотов, подключении к гостевой виртуальной машине, получении флагов и так далее. Получить дополнительную информацию и связаться с Google для участия в программе можно в Discord.

В мае Google увеличила вознаграждение за сообщения об уязвимостях удалённого выполнения кода в некоторых приложениях Android в десять раз — с $30 тысяч до $300 тысяч. Компания внесла эти изменения в Программу вознаграждений за уязвимости мобильных устройств (Mobile Vulnerability Reward Program, Mobile VRP). Они применяются к приложениям уровня 1.

В 2023 году Google выплатила $10 млн по своей глобальной программе багбаунти исследователям и белым хакерам за выявление уязвимостей в своих сервисах и проектах Chrome, Android, Google Play, продуктах Google и открытом ПО компании. Это на $2 млн меньше, чем в 2022 году. Самая высокая награда за отчёт об уязвимостях в сервисах Google в 2023 году составила $113 337. Выплаты получили 632 белых хакера из 68 стран мира.