Google a décidé d’offrir jusqu’à 250 000 dollars pour la découverte de failles zéro day dans le kernel de l’hyperviseur. L'opération prend la forme d'un CTF avec des règles bien spécifiques sur une infrastructure dédiée.
Google met KVM sous le feu nourri des hackers éthiques. Le géant américain vient d’entamer un nouveau bug bounty autour de l’hyperviseur Open Source avec à la clef des primes de 250 000 dollars pour les failles les plus critiques (extraction comlète de VM). L’opération entamée fin juin prend la forme d’un “capture the flag” (CTF) qui récompensera les hackers réussissant à réaliser une attaque de type guest-to-host sur le kernel de KVM. Les failles dans l'émulateur QEMU ou via des techniques host-to-KVM ne seront pas acceptées.
L’objectif de Google est d’une part de renforcer la sécurité de KVM qui reprend en popularité avec les déboires du couple VMware-Broadcom, mais également de remobiliser la communauté autour de l’hyperviseur. Pour l’instant, aucune faille n’a encore été trouvée et publiée par les participants.