En 2020, nous avons lancé un nouveau format pour notre programme de récompense de vulnérabilité (VRP) avec le kCTF VRP et sa suite kernelCTF. Pour la première fois, les chercheurs en sécurité pouvaient obtenir des primes pour des exploits de n jours, même s’ils n’avaient pas découvert eux-mêmes la vulnérabilité. Ce format s’est avéré précieux dans améliorer notre compréhension des parties les plus largement exploitées du noyau Linux. Son succès nous a motivé à l’étendre à de nouveaux domaines et nous sommes désormais ravis d’annoncer que nous l’étendons à deux nouvelles cibles : v8CTF et kvmCTF.
Aujourd’hui, nous lançons v8CTF, un CTF axé sur V8, le moteur JavaScript qui alimente Chrome. kvmCTF est un prochain CTF axé sur les machines virtuelles basées sur le noyau (KVM) qui sera publié plus tard dans l’année.
Comme pour kernelCTF, nous paierons des primes pour les exploits réussis contre ces plates-formes, n jours inclus. Ceci s’ajoute à toutes les récompenses existantes pour les vulnérabilités elles-mêmes. Par exemple, si vous trouvez une vulnérabilité dans la V8 et que vous écrivez ensuite un exploit pour celle-ci, elle peut être éligible à la fois au Chrome VRP et au v8CTF.
Nous sommes toujours à la recherche de moyens d’améliorer la sécurité de nos produits et nous souhaitons apprendre de la communauté de la sécurité pour comprendre comment elle abordera ce défi. Si vous réussissez, vous gagnerez non seulement une récompense, mais vous nous aiderez également à rendre nos produits plus sûrs pour tous. C’est également une bonne occasion d’en apprendre davantage sur les technologies et d’acquérir une expérience pratique de leur exploitation.
En plus d’en apprendre davantage sur les techniques d’exploitation, nous exploiterons également ce programme pour expérimenter de nouvelles idées d’atténuation et voir comment elles fonctionnent par rapport aux exploits du monde réel. Pour les mesures d’atténuation, il est crucial d’évaluer leur efficacité dès le début du processus, et vous pouvez nous aider à les tester.
Comment puis-je participer ?
-
Tout d’abord, assurez-vous de consulter les règles de v8CTF ou kvmCTF. Cette page contient des informations à jour sur les types d’exploits éligibles aux récompenses, ainsi que les limites et restrictions applicables.
-
Une fois que vous avez identifié une vulnérabilité présente dans notre version déployée, exploitez-la et récupérez le drapeau. Il n’est même pas nécessaire que ce soit un jour 0 !
-
Envoyez-nous le drapeau en remplissant le formulaire lié dans le règlement et nous le prendrons en charge à partir de là.
Nous avons hâte de voir ce que vous pourrez trouver !
