Google Bug 赏金计划扩展到 Chrome V8、Google Cloud

阅读量139539

发布时间 : 2023-10-10 11:04:26

谷歌的研究团队推出了 v8CTF,这是一项针对其 Chrome 浏览器的 V8 JavaScript 引擎的夺旗 (CTF) 挑战赛。

该竞赛于 2023 年 10 月 6 日开幕,任何漏洞利用作者都可以参加。谷歌软件工程师 Stephen Roettger 和 Marios Pomonis 在一份公开声明中指出:“一旦发现我们部署的版本中存在漏洞,就可以利用它并抓住标记。”

参赛者可以尝试查找已知漏洞(n 天)或发现新漏洞(零日或 0 天),但他们的漏洞利用必须“相当稳定”,该公司将其描述为运行时间少于五分钟并且成功率至少80%。

“如果导致初始内存损坏的错误是您发现的,即从 v8CTF 提交中使用的同一电子邮件地址报告的,我们将将该漏洞视为 0day 提交。所有其他漏洞均被视为 n 天提交,”谷歌解释道。

有效提交将获得10,000美元的奖励。

v8CTF 挑战赛旨在补充 Google 的 Chrome 漏洞奖励计划 (VRP),这意味着发现零日漏洞的漏洞作者有资格获得高达 180,000 美元的额外奖励。

Google Cloud CTF 最高报价 99,999 美元

谷歌还公布了kvmCTF 的规则,这是另一项 CTF 挑战赛,重点关注谷歌云基于内核的虚拟机 (KVM),将于今年晚些时候推出。

在本次比赛中,候选人将被要求基于 0day 和(修补的)1day 漏洞执行成功的访客到主机攻击。

谷歌已经公布了其奖励奖项。这些都是:

  • 完整的虚拟机逃逸 99,999 美元
  • 任意(主机)内存写入漏洞 34,999 美元
  • 任意(主机)内存读取漏洞 24,999 美元
  • 影响主机的成功拒绝服务漏洞需花费 14,999 美元

谷歌鼓励研究人员发表他们的意见,以帮助社区学习彼此的技术。

Chrome V8 提交流程是什么?

  1. 1、如果您的漏洞利用针对的是 0day 漏洞,请务必先向 Chrome VRP 报告。
  2. 2、检查当前部署的 V8 版本是否已提交。
  3. 3、利用该错误并从我们的 v8CTF 环境中捕获标志。
  4. 4、创建您的漏洞利用程序的 .tar.gz 存档并计算其 sha256
  5. 5、填写带有标志和漏洞 sha256 总和的表格。对于 0day 提交,提交者被邀请使用他们报告错误的同一电子邮件地址。
  6. 6、Google 问题跟踪器中的错误将代表提交者提交。附上与 sha256 总和匹配的漏洞利用程序以及对该错误的简短描述。
  7. 7、Google 将花费几天时间来验证每份提交内容

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/290672

安全客 - 有思想的安全新媒体

分享到:微信
+112赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66