未加星标

【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二05 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞 2017-08-10 16:30:13 阅读:605次 点赞(0) 收藏 来源: threatpost.com
【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞 作者:360代码卫士
【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


前言

一家神秘公司将会在9月份启动为期8周且仅限邀请的漏洞奖励计划,在未发布的一款产品中如能找到虚拟机逃逸漏洞则可获得最高25万美元的奖励。


神秘公司25万美元求虚拟机逃逸漏洞

Bugcrowd刚宣布了这项计划,并表示这次高价奖励是第三方平台收到的数额最大的一笔奖励。Bugcrowd公司的首席执行官Casey Ellis指出,“这项机密计划是一种混合策略。这可以让提供奖励的组织机构招聘到更顶级的人才,准确地说是擅长公司独特攻击面的安全专家。”

这种高价奖励反映出漏洞奖励计划的势头越来越迅猛,并日益成为微软、谷歌、Facebook和苹果等公司雇佣白帽黑客找出漏洞的主流方式。

上个月,微软宣布了一个最高奖励为25万美元的windows漏洞奖励计划,只要能在微软虚拟化软件Hyper-V中找到管理程序和主机内核远程代码执行漏洞就有望获得最高奖励。在去年的Black Hat大会上,苹果宣布了一个20万美元的私密奖励计划,而利用厂商Zerodium不久之后为iOS10远程越狱利用提供了150万美元的奖励。

这次“超级机密”的Bugcrowd漏洞奖励计划实行邀请制,而且要求参与的研究人员提交“一份报告,说明他们对于一个潜在攻陷所做的尝试和理念,以及任何相关信息(不管是否达到了所述目标)”。排名前五的报告如未能找到漏洞但展示出了投入和专业性,那么会收到1万美元的奖励作为工作补偿。

这项计划持续八周的时间,从9月初一直到10月。据Bugcrowd平台透露,已有27名参与者加入该计划。

最高奖励25万美元将颁发给找到“能导致在虚拟化平台上执行代码的客户机逃逸漏洞”,以及“能够在另外一个实例中导致执行代码执行的客户机逃逸漏洞”的人员。而发现能导致泄露内存内容和虚拟平台代码的漏洞,则获得10万美元的奖励。另外,如能发现与控制面板基础设施问题实现意外网络相关的漏洞,则可获得2.5万美元的奖励。

Ellis认为这类高价奖励可以反映漏洞奖励计划越来越火的势头以及(不太属于利基)市场的成熟程度。


后记

Bugcrowd的竞争对手HackerOne指出,支付给参与者的平均金额比2015年的1624美元增长了6%。而HackerOne目前提供的最高奖励是5万美元。


【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞
【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞 本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://threatpost.com/mystery-company-offers-250000-bounty-for-vm-escape-vulnerabilities/127343/

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:【国际资讯】神秘公司25万美元求虚拟机逃逸漏洞
本站链接:http://www.codesec.net/view/560850.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(44)