#安全资讯 谷歌为 KVM 虚拟机管理程序推出 kvmCTF 漏洞赏金计划新版本，单个漏洞最高可以获得 25 万美元的奖金。谷歌希望研究人员能够找到 KVM 中从虚拟机逃逸到主机的安全漏洞，谷歌搭建了专门的环境用于测试，想要获得奖金的研究人员得先报名然后到谷歌部署的环境中发起攻击。查看全文：https://ourl.co/104810

KVM 是个知名且开源的虚拟机管理程序，这并不是谷歌主导的开源项目，但在 Android 和 Google Cloud 中都广泛使用 KVM，因此谷歌也是 KVM 项目的重要参与者。

现在谷歌为 kvmCTF 漏洞赏金计划制定了新的奖金方案，如果研究人员能从客户机逃逸到主机，那么单个漏洞最高可以获得 25 万美元的奖金。

kvmCTF 的主要目的还是想要挖掘 KVM 虚拟机管理程序中的 VM 可访问漏洞，同时谷歌只专注于 0day，对于任何现有漏洞链的利用都不会获得奖励。

下面是 kvmCTF 的奖金方案：

• 虚拟机完全逃逸：最高 250,000 美元
• 任意内存写入：最高 100,000 美元
• 任意内存读取：最高 50,000 美元
• 相对内存写入：最高 50,000 美元
• 拒绝服务：最高 20,000 美元
• 相对内存读取：最高 10,000 美元

要想参与该计划的研究人员，需要报名 kvmCTF，接着使用谷歌已经部署好的托管环境进行测试，谷歌为研究人员预留时间尝试从虚拟机逃逸到客户机，攻击目标必须是利用主机内核的 KVM 子系统中的零日漏洞。

如果研究人员成功发起攻击则会获得一个标记，该标记用来证明成功利用了漏洞，接着谷歌会根据漏洞的严重程度进行评估，完成彻底评估后再决定向研究人员发放多少奖金。

---

限时活动推荐：开搜AI智能搜索免费无广告直达结果、全能播放器VidHub支持挂载网盘云播、阿里云服务器99元/年。