【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞

翻译：360代码卫士

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

一家神秘公司将会在9月份启动为期8周且仅限邀请的漏洞奖励计划，在未发布的一款产品中如能找到虚拟机逃逸漏洞则可获得最高25万美元的奖励。

神秘公司25万美元求虚拟机逃逸漏洞

Bugcrowd刚宣布了这项计划，并表示这次高价奖励是第三方平台收到的数额最大的一笔奖励。Bugcrowd公司的首席执行官Casey Ellis指出，“这项机密计划是一种混合策略。这可以让提供奖励的组织机构招聘到更顶级的人才，准确地说是擅长公司独特攻击面的安全专家。”

这种高价奖励反映出漏洞奖励计划的势头越来越迅猛，并日益成为微软、谷歌、Facebook和苹果等公司雇佣白帽黑客找出漏洞的主流方式。

上个月，微软宣布了一个最高奖励为25万美元的Windows漏洞奖励计划，只要能在微软虚拟化软件Hyper-V中找到管理程序和主机内核远程代码执行漏洞就有望获得最高奖励。在去年的Black Hat大会上，苹果宣布了一个20万美元的私密奖励计划，而利用厂商Zerodium不久之后为iOS10远程越狱利用提供了150万美元的奖励。

这次“超级机密”的Bugcrowd漏洞奖励计划实行邀请制，而且要求参与的研究人员提交“一份报告，说明他们对于一个潜在攻陷所做的尝试和理念，以及任何相关信息（不管是否达到了所述目标）”。排名前五的报告如未能找到漏洞但展示出了投入和专业性，那么会收到1万美元的奖励作为工作补偿。

这项计划持续八周的时间，从9月初一直到10月。据Bugcrowd平台透露，已有27名参与者加入该计划。

最高奖励25万美元将颁发给找到“能导致在虚拟化平台上执行代码的客户机逃逸漏洞”，以及“能够在另外一个实例中导致执行代码执行的客户机逃逸漏洞”的人员。而发现能导致泄露内存内容和虚拟平台代码的漏洞，则获得10万美元的奖励。另外，如能发现与控制面板基础设施问题实现意外网络相关的漏洞，则可获得2.5万美元的奖励。

Ellis认为这类高价奖励可以反映漏洞奖励计划越来越火的势头以及（不太属于利基）市场的成熟程度。

后记

Bugcrowd的竞争对手HackerOne指出，支付给参与者的平均金额比2015年的1624美元增长了6%。而HackerOne目前提供的最高奖励是5万美元。