神秘公司悬赏25万美元寻找虚拟机逃逸漏洞 而且还是针对未发行产品相关的

在7月份,VMware内存访问越界漏洞CVE-2016-7461,导致Vmware虚拟机逃逸技术一度成为热点,今天外媒有消息称有一个不知名的公司赞助了一个漏洞奖励计划,该计划将在9月开始,为期八周,并只进行定向邀请,提供奖金总数为25万美元, 用于与未发行产品相关的虚拟机逃逸漏洞。

虚拟机逃逸技术

百度百科解释说,虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。知乎上的朋友解释,在虚拟机安全中,有个特殊的漏洞叫虚拟机逃逸,指的是进程越过虚拟机范围,进入宿主机的操作系统中。

Bugcrowd宣布了这个神秘的漏洞奖励计划

Bugcrowd 今天宣布了这个计划, 并说这个高价赏金是第三方平台上数额最大的漏洞奖金。Bugcrowd 的首席执行官Casey Ellis说

"这个机密项目是一种复杂的手段。它允许该组织招募更多顶尖的人才——安全专家, 专注于企业的特定攻击面。”

25万美元的赏金反映了漏洞奖励计划日益增长的势头, 这些项目正日益成为微软、谷歌、Facebook 和苹果等公司的主流工具, 他们正在招募白帽子黑客来寻找漏洞。

上个月, 微软宣布了一项 Windows漏洞奖励计划, 该项目的最高支出为25万美元, 支付给任何能够发现Hyper-V中的管理程序和主机内核远程代码执行漏洞的人。去年, 苹果公司宣布了一项20万美元的私人奖励计划, 而供应商 Zerodium 不久就为 iOS10 远程利用提供了150万美元的赏金。

所谓超级秘密的漏洞奖励计划 主要是定向邀请

所谓的 "超级秘密" Bugcrowd 漏洞奖励计划主要是定向邀请, 并要求参与研究人员提交

"他们努力过程的报告, 试图达成的目标、潜在攻击的想法以及任何其他相关信息 (不管他们是否达到了既定目的)。”

据该公司称,提交的前5个报告,不论是否发现漏洞,主要展示出的努力和专长, 都将得到1万美元的奖励, 作为对所做工作的补偿。该计划为期八周, 从9月初开始, 持续到10月。该漏洞奖励计划网站的信息显示, 已经有27人参加了这个项目。

漏洞奖励计划主要是寻找虚拟机逃逸漏洞

由不知名公司支付的最高奖项25万美元奖金,是为了寻找 "导致在虚拟化平台本身执行代码的客户机逃逸漏洞" 和 "导致在另一个实例中执行代码的客户机逃逸漏洞"。

这个计划还有一个奖项10万美元,是为寻找导致虚拟化平台上的内存内容和代码泄漏有关的漏洞。此外, 还有2.5万美金是为了寻找,对于控制平面基础结构发生意外网络访问相关的漏洞。Ellis说:

"像这样的高回报揭示了赏金的增长势头和市场的成熟。

HackerOne, Bugcrowd 竞争对手, 其平均支付给参加者的赏金比2015年的1624美元增加了20%。HackerOne 目前提供的最大的 bug 赏金是5万美元, 用于关键的漏洞。

 

发表评论