Google、「KVM」の脆弱性発見に最大25万ドルの報奨金を提供する「kvmCTF」を開始：Google Bare Metal SolutionのゲストVMからホストへの攻撃を試せる

Googleは、「KVM」のゼロデイ脆弱（ぜいじゃく）性を発見、報告した人に報奨金を提供するプログラム「kvmCTF」を開始した。

» 2024年07月03日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2024年6月27日（米国時間）、「KVM（Kernel-based Virtual Machine：カーネルベースの仮想マシン）」のゼロデイ脆弱（ぜいじゃく）性を発見、報告した人に報奨金を提供するプログラム「kvmCTF」を開始した。

　KVMは、15年以上にわたってオープンソースで開発されてきた仮想化技術であり、AndroidやGoogle Cloudといったプラットフォームなどに採用され、消費者や企業に広く利用されている。

　kvmCTFは、KVMにおける脆弱性の特定と対処を支援するように設計されており、ラボ環境を提供する。プログラム参加者はこれにログインし、自らが発見した脆弱性を突く攻撃を行い、成功すると、それを証明するフラグを取得する。

　kvmCTFはゼロデイ脆弱性を対象としており、nデイ脆弱性を突く攻撃は、報奨金の対象外だという。kvmCTFで報告されたゼロデイ脆弱性に関する詳細は、アップストリームパッチの公開後にGoogleに共有される。Googleは、オープンソースコミュニティーと同時に詳細を入手することになる。

kvmCTFの仕組み

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

Linux 6.8カーネル採用の「Ubuntu 24.04 LTS」リリース
Linuxディストリビューション「Ubuntu」の最新版「Ubuntu 24.04 LTS」（開発コードネーム「Noble Numbat」）が公開された。10番目のLTSリリースで、Linux 6.8カーネルを採用している。
レッドハットがOpenShiftの仮想マシン管理機能を説明、「問い合わせ増えた」
レッドハットが、コンテナ基盤の「Red Hat OpenShift」で仮想マシンを管理できるOpenShift Virtualizationについて説明した。VMwareを取り巻く状況の変化を受けて、問い合わせが増えているという。
GoogleがOSSの脆弱性発見に最大3万ドルの報奨金、対象プロジェクトは？
GoogleはOSSの脆弱性を発見、報告した人に報奨金を提供する「Open Source Software Vulnerability Rewards Program」を開始した。同社のOSSプロジェクトが対象となる。