当前位置:安全资讯 >> 全文

神秘公司25万美元求虚拟机逃逸漏洞

发布时间:2017-8-10 11:15
分享到 0

一家不具名公司将会在9月份启动为期8周且仅限邀请的漏洞奖励计划,在未发布的一款产品中如能找到虚拟机逃逸漏洞则可获得最高25万美元的奖励。

Bugcrowd刚宣布了这项计划,并表示这次高价奖励是第三方平台收到的数额最大的一笔奖励。Bugcrowd公司的首席执行官Casey Ellis指出,“这项机密计划是一种混合策略。提供奖励的组织机构能招聘到更顶级的人才即擅长于公司独特攻击面的安全专家。”

这种高价奖励反映了漏洞奖励计划越来越迅猛的势头,它越来越成为微软、谷歌、Facebook和苹果等公司雇佣白帽黑客找出漏洞的主流工具。

上个月,微软宣布了一个最高奖励为25万美元的Windows漏洞奖励计划,只要能在微软虚拟化软件Hyper-V中找到管理程序和主机内核远程代码执行漏洞就有望获得最高奖励。去年在黑帽大会上,苹果宣布了一个20万美元的私密奖励计划,而利用厂商Zerodium不久之后为iOS10远程越狱利用提供了150万美元的奖励。

这次“超级机密”的Bugcrowd漏洞奖励计划是邀请制的而且要求参与的研究人员提交“一份报告,说明他们对于一个潜在攻陷所做的尝试和理念,以及任何相关信息(不管是否达到了所述目标)”。排名前五的报告如未能找到漏洞但展示出了投入和专业性,那么会收到1万美元的奖励作为工作补偿。

这项计划持续八周的时间,从9月初一直到10月。据Bugcrowd平台透露,已有27名参与者加入该计划。

最高奖励25万美元将颁发给找到“能导致在虚拟化平台上执行代码的guest逃逸漏洞”,以及“能够在另外一个实例中导致执行代码执行的guest逃逸漏洞”的人员。而发现能导致泄露内存内容和虚拟平台代码的漏洞,则获得10万美元的奖励。另外,如能发现跟对控制面板基础设施问题实现意外网络相关的漏洞,则可获得2.5万美元的奖励。

Ellis认为这类高价奖励说明漏洞奖励计划越来越火的势头以及(不太属于利基)市场的成熟程度。

Bugcrowd的竞争对手HackerOne指出,支付给参与者的平均金额比2015年的1624美元增长了6%HackerOne目前提供的最高奖励是5万美元。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:https://threatpost.com/mystery-company-offers-250000-bounty-for-vm-escape-vulnerabilities/127343/
参与讨论,请先 登录 | 注册

用户评论