Google宣布最新kCTF計畫 找出漏洞懸賞13萬美元
Google根據去年漏洞獎勵方案kCTF所發現的Google GKE安全漏洞及開採程式,發展出實驗性緩解工具,並宣布若是研究人員還能在安裝最新緩解工具的特製的Linux核心找出漏洞的話,將可獲得最高13萬美元獎金。
Google在2020年首次推出kCTF(Kubernetes-based Capture-the-Flag)專案,並設置漏洞獎勵方案,讓研究人員可以連到Google GKE上尋找漏洞,研究人員找到漏洞後標示出來,經過認可後就能獲得獎金。
而在今年,Google推出最新kCTF計畫。首先,今年初Google加碼kCTF獎勵Linux抓漏的承諾依舊會持續進行,只要找到Linux核心漏洞的研究人員,就可獲得2萬到9萬多美元不等的獎金,上周又宣布Linux核心的新獎勵措施。
Google根據去年kCTF發現到的安全漏洞及開採程式,發展出實驗性緩解工具,他們相信能讓Linux核心更難被駭,Google將公開這些正在測試中的工具並提供懸賞獎金,若是能在安裝最新緩解工具的特製Linux核心找到新的漏洞,研究人員還可以再獲得2.1萬美元,不過前提是要能突破Google的緩解工具,最高獎金最高可以來到13萬3千多美元。
據了解,Google希望可以藉此評估緩解工具的能耐,目前Google發展出的緩解工具主要目的是為了解決slab界外寫入(out-of-bounds write)、跨快取(Cross Cache)攻擊、Freelist毁損,以及Elastic物件的攻擊,他們希望長期下來可以製作出盡可能提高Linux核心漏洞攻擊難度的緩解工具。(記者/竹二)
瀏覽 912 次