谷歌的研究团队推出了 v8CTF,这是一项针对其 Chrome 浏览器的 V8 JavaScript 引擎的夺旗 (CTF) 挑战赛。
该竞赛于 2023 年 10 月 6 日开幕,任何漏洞利用作者都可以参加。谷歌软件工程师 Stephen Roettger 和 Marios Pomonis 在一份公开声明中指出:“一旦发现我们部署的版本中存在漏洞,就可以利用它并抓住标记。”
参赛者可以尝试查找已知漏洞(n 天)或发现新漏洞(零日或 0 天),但他们的漏洞利用必须“相当稳定”,该公司将其描述为运行时间少于五分钟并且成功率至少80%。
“如果导致初始内存损坏的错误是您发现的,即从 v8CTF 提交中使用的同一电子邮件地址报告的,我们将将该漏洞视为 0day 提交。所有其他漏洞均被视为 n 天提交,”谷歌解释道。
有效提交将获得10,000美元的奖励。
v8CTF 挑战赛旨在补充 Google 的 Chrome 漏洞奖励计划 (VRP),这意味着发现零日漏洞的漏洞作者有资格获得高达 180,000 美元的额外奖励。
Google Cloud CTF 最高报价 99,999 美元
谷歌还公布了kvmCTF 的规则,这是另一项 CTF 挑战赛,重点关注谷歌云基于内核的虚拟机 (KVM),将于今年晚些时候推出。
在本次比赛中,候选人将被要求基于 0day 和(修补的)1day 漏洞执行成功的访客到主机攻击。
谷歌已经公布了其奖励奖项。这些都是:
- 完整的虚拟机逃逸 99,999 美元
- 任意(主机)内存写入漏洞 34,999 美元
- 任意(主机)内存读取漏洞 24,999 美元
- 影响主机的成功拒绝服务漏洞需花费 14,999 美元
谷歌鼓励研究人员发表他们的意见,以帮助社区学习彼此的技术。
Chrome V8 提交流程是什么?
- 1、如果您的漏洞利用针对的是 0day 漏洞,请务必先向 Chrome VRP 报告。
- 2、检查当前部署的 V8 版本是否已提交。
- 3、利用该错误并从我们的 v8CTF 环境中捕获标志。
- 4、创建您的漏洞利用程序的 .tar.gz 存档并计算其 sha256
- 5、填写带有标志和漏洞 sha256 总和的表格。对于 0day 提交,提交者被邀请使用他们报告错误的同一电子邮件地址。
- 6、Google 问题跟踪器中的错误将代表提交者提交。附上与 sha256 总和匹配的漏洞利用程序以及对该错误的简短描述。
- 7、Google 将花费几天时间来验证每份提交内容
发表评论
您还未登录,请先登录。
登录