GitHub
Google上周宣布最新kCTF計畫,提供Linux漏洞的緩解工具,另一方面也透過抓漏獎勵計畫,大幅提高突破這些緩解工具的研究人員獎金。
2020年Google首次推出kCTF(Kubernetes-based Capture-the-Flag)專案。其下漏洞獎勵方案讓研究人員連到Google GKE上尋找漏洞。研究人員找到漏洞後標示出來,經認可後能獲得獎金。
而在今年,Google推出最新kCTF計畫。首先,今年初Google加碼kCTF獎勵Linux抓漏的承諾仍然會持續進行,找到Linux核心漏洞的研究人員可獲得20,000到91,337美元不等的獎金。而在此之外,Google上周又宣布Linux核心的新獎勵措施。
Google根據去年kCTF發現到的安全漏洞及開採程式,發展出實驗性緩解工具,Google相信能讓Linux核心更難被駭。Google將公開這些正在測試中的工具,並提供懸賞獎金。凡是能找到最新Linux核心的漏洞,研究人員會額外支付2.1萬美元,而如果能在安裝最新緩解工具的特製Linux核心找到新的漏洞,研究人員還可再獲得2.1萬美元(前提是能突破Google的緩解工具)。這麼一來,最高獎金最高可以來到133,337美元。
Google希望可以藉此評估其緩解工具究竟能耐如何。目前Google發展出的緩解工具是為了解決slab界外寫入(out-of-bounds write)、跨快取(Cross Cache)攻擊、Freelist毁損、Elastic物件的攻擊。他們希望長期下來,可以製作出盡可能提高Linux核心漏洞攻擊難度的緩解工具。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-22