در این پست به بررسی برنامه باگ بانتی جدید مایکروسافت برای محصول Bing مبتنی بر هوش مصنوعیش و دو تا رویداد جدید kvmCTF و v8CTF گوگل پرداختیم.
برنامه باگ بانتی جدید مایکروسافت :
مایکروسافت یه برنامه جدید باگ بانتی برای محصول Bing مبتنی بر هوش مصنوعیش ، معرفی کرده و بانتی بین 2000 تا 15 هزار دلار براش در نظر گرفته. محصولاتی و سرویس هایی که میتونید روش کار کنید :
- AI-powered Bing experiences on bing.com in Browser (All major vendors are supported, including Bing Chat, Bing Chat for Enterprise, and Bing Image Creator)
- AI-powered Bing integration in Microsoft Edge (Windows), including Bing Chat for Enterprise
- AI-powered Bing integration in the Microsoft Start Application (iOS and Android)
- AI-powered Bing integration in the Skype Mobile Application (iOS and Android)
جوایزی که مایکروسافت برای گزارشات در این برنامه در نظر گرفته :
Vulnerability Type | Report Quality | Severity | |||
---|---|---|---|---|---|
Critical | Important | Moderate | Low | ||
Inference Manipulation | High
Medium Low |
$15,000
$10,000 $6,000 |
$6,000
$3,000 $2,000 |
$0 | $0 |
Model Manipulation | High
Medium Low |
$15,000
$10,000 $6,000 |
$6,000
$3,000 $2,000 |
$0 | $0 |
Inferential Information Disclosure | High
Medium Low |
$15,000
$10,000 $6,000 |
$6,000
$3,000 $2,000 |
$0 | $0 |
آسیب پذیری هایی که قبول میکنن :
- تغییر رفتار Bing chat روی همه کاربران. مثلا هوش مصنوعی رو جوری دستکاری کنید که روی سایر کاربران هم تاثیر بزاره.
- دستکاری رفتار Bing chat از طریق پیکربندی های قابل مشاهده کلاینت و/یا سرور. مثلا فلگهای دیباگ و ویژگی هارو دستکاری کنید.
- دور زدن اقدامات حفاظتی در چت های متقابل و حذف تاریخچه چت
- افشای عملکردهای داخلی Bing و promptها ، فرآیندهای تصمیم گیری و اطلاعات محرمانه
- دور زدن محدودیتها و/یا قوانین در جلسه Bing chat
البته یسری از آسیب پذیری هارو هم از لیست خارج کرده، مثلا پاسخ هایی مخرب و … رو قبول نمیکنه.
مایکروسافت از 1 جولای 2022 تا 30 ژوئن 2023 ،با بیش از 345 محقق امنیتی از بیش از 45 کشور دنیا همکاری داشته و 1180 گزارش دریافت کرده و 13.8 میلیون دلار در مجموع بانتی داده .
در نهایت برای بدست آوردن اطلاعات بیشتر و نحوه ارسال گزارشات از این لینک دیدن فرمایید .
رویدادهای kvmCTF و v8CTF گوگل :
گوگل دو تا رویداد بنام v8CTF و kvmCTF رو معرفی کرده و براشون جوایزی هم در نظر گرفته.
v8CTF که شروع شده، روی اکسپلویت موفقیت آمیز V8 در نسخه هایی که در زیرساخت گوگل اجرا میشن، تمرکز داره. این برنامه در کنار Chrome VRP هستش. یعنی اگه مثلا یه memory corruption پیدا کنید و اونو به Chrome VRP گزارش کنید، گوگل اونو بعنوان یه اکسپلویت زیرودی در نظر میگیره و بانتی براش در نظر میگیره. حالا میتونید با همون اکسپلویت در v8CTF شرکت کنید و فلگ بکشید بیرون و دوباره جایزه بگیرید. بقیه اکسپلویتهارو هم بعنوان اکسپلویت N-Day در نظر میگیره.
اگه اکسپلویت معتبری رو گزارش کنید تا 10 هزار دلار بانتی دارید.
برای کسب اطلاعات بیشتر و قوانین چالش ، این لینک مشاهده کنید.
kvmCTF هم که اواخر امسال قرار برگزار بشه، روی اکسپلویت زیرودی و One-day در Kernel-based Virtual Machine (KVM) تمرکز داره. هدفش LTS kernel هست و اگه بتونید از guest به host برسید، بانتی رو دریافت میکنید. آسیب پذیری ها و اکسپلویتهای مرتبط با QEMU در محدوده برنامه نیستن.
جوایز این رویداد :
- Full VM Escape: $99,999
- Arbitrary (host) memory write: $34,999
- Arbitrary (host) memory read: $24,999
- Host Denial-of-Service: $14,999
برای کسب اطلاعات بیشتر و قوانین چالش ، این لینک مشاهده کنید.