Google dari Alphabet Inc. (GOOG) telah meluncurkan inisiatif perburuan bug baru yang disebut kvmCTF, yang bertujuan untuk mengidentifikasi kerentanan dalam Kernel-based Virtual Machine (KVM) hypervisor.
Program ini menawarkan hadiah hingga $250,000 bagi yang berhasil menunjukkan eksploitasi penuh pelarian mesin virtual. Eksploitasi semacam itu berkaitan dengan kerentanan yang memungkinkan kode berbahaya untuk melarikan diri dari hypervisor dan dieksekusi pada sistem host.
Peserta dalam program ini dapat memesan slot waktu untuk mengakses VM tamu yang di-hosting di lingkungan laboratorium yang dikendalikan, di mana mereka dapat mencoba serangan tamu ke host.
"Tujuan dari serangan ini haruslah mengeksploitasi kerentanan zero-day dalam subsistem KVM dari kernel host. Jika berhasil, penyerang akan memperoleh bendera yang membuktikan pencapaian mereka dalam mengeksploitasi kerentanan tersebut," Google menjelaskan dalam sebuah postingan blog.
Menurut SecurityWeek, Google mengantisipasi inisiatif ini akan membantu menemukan pelarian mesin virtual, cacat eksekusi kode sewenang-wenang, masalah pengungkapan informasi, dan bug denial-of-service (DoS).
