Google宣布最新kCTF計畫　找出漏洞懸賞13萬美元

Google根據去年漏洞獎勵方案kCTF所發現的Google GKE安全漏洞及開採程式，發展出實驗性緩解工具，並宣布若是研究人員還能在安裝最新緩解工具的特製的Linux核心找出漏洞的話，將可獲得最高13萬美元獎金。

Google在2020年首次推出kCTF（Kubernetes-based Capture-the-Flag）專案，並設置漏洞獎勵方案，讓研究人員可以連到Google GKE上尋找漏洞，研究人員找到漏洞後標示出來，經過認可後就能獲得獎金。

而在今年，Google推出最新kCTF計畫。首先，今年初Google加碼kCTF獎勵Linux抓漏的承諾依舊會持續進行，只要找到Linux核心漏洞的研究人員，就可獲得2萬到9萬多美元不等的獎金，上周又宣布Linux核心的新獎勵措施。

Google根據去年kCTF發現到的安全漏洞及開採程式，發展出實驗性緩解工具，他們相信能讓Linux核心更難被駭，Google將公開這些正在測試中的工具並提供懸賞獎金，若是能在安裝最新緩解工具的特製Linux核心找到新的漏洞，研究人員還可以再獲得2.1萬美元，不過前提是要能突破Google的緩解工具，最高獎金最高可以來到13萬3千多美元。

據了解，Google希望可以藉此評估緩解工具的能耐，目前Google發展出的緩解工具主要目的是為了解決slab界外寫入（out-of-bounds write）、跨快取（Cross Cache）攻擊、Freelist毁損，以及Elastic物件的攻擊，他們希望長期下來可以製作出盡可能提高Linux核心漏洞攻擊難度的緩解工具。（記者／竹二）

瀏覽 816 次