MÜNCHEN (IT BOLTWISE) – Google startet ein neues Bug-Bounty-Programm für den KVM-Hypervisor mit Prämien von bis zu 250.000 US-Dollar.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Google hat Ende Juni ein spezielles Bug-Bounty-Programm zur Aufspürung von Sicherheitslücken im Hypervisor der Kernel-based Virtual Machine (KVM) gestartet. Das Programm trägt den Namen „kvmCTF“.
Google beschreibt die KVM als einen robusten Open-Source-Hypervisor, der sowohl in Konsumenten- als auch Unternehmensumgebungen weit verbreitet ist – einschließlich Android und Googles Cloud-Diensten. Als aktiver Projekt-Beitragender hat Google kvmCTF ins Leben gerufen, um durch eine kollaborative Herangehensweise beim Finden und Beheben von Schwachstellen zu helfen und so diese fundamentale Sicherheitshürde zu stärken.
Das Unternehmen stellt den Teilnehmern Labor-Umgebungen zur Verfügung, in die sie sich einloggen können, um ihre Exploits zu testen und Flaggen zu erhalten (CTF: Capture the Flag). Der Fokus von kvmCTF liegt auf Zero-Day-Lücken, daher gibt es keine Prämien für bereits bekannte Schwachstellen. Google plant, detaillierte Informationen zu den Zero-Day-Lücken nach dem Einpflegen und der Veröffentlichung eines Patches zu teilen. Dies soll sicherstellen, dass Google die Informationen zur gleichen Zeit wie der Rest der Open-Source-Gemeinschaft erhält.
kvmCTF nutzt Googles Bare Metal Solution-Umgebung (BMS) zur Bereitstellung der Infrastruktur. Es gibt verschiedene Prämienstufen für unterschiedliche Schwachstellenkategorien:
- Vollständiger Ausbruch aus der VM: 250.000 US-Dollar
- Schreiben beliebiger Speicherbereiche: 100.000 US-Dollar
- Lesen beliebiger Speicherbereiche: 50.000 US-Dollar
- Schreiben relativer Speicherbereiche: 50.000 US-Dollar
- Denial-of-Service: 20.000 US-Dollar
- Lesen relativer Speicherbereiche: 10.000 US-Dollar
Für die Umsetzung der relativen Lese- und Schreibzugriffe sowie Teile von Denial-of-Service-Angriffen bietet kvmCTF die Möglichkeit, einen Host mit aktiviertem KASAN (Kernel Address Sanitizer) zu nutzen. Eine Zugriffsverletzung in KASAN bringt den Teilnehmenden als Beweis der Lücke eine Flagge ein.
Interessierte können das detaillierte kvmCTF-Regelwerk auf GitHub finden. Die Projektbetreuer von Google stehen zudem auf Discord für Fragen und Einreichungen zur Verfügung.
Google hat mit Bug-Bounty-Programmen in der Regel großen Erfolg. Im Mai gab das Unternehmen bekannt, dass das „Mobile Vulnerability Reward Program“ (VRP), also das Bug-Bounty-Programm für Android-Apps, im ersten Jahr der Laufzeit für 40 gültige Meldungen rund 100.000 US-Dollar an Prämien ausgeschüttet hat. Insgesamt haben alle VRPs von Google im Jahr 2023 eine Gesamtsumme von zehn Millionen US-Dollar an 632 Meldende ausgezahlt.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.