Microsoft предлагает награду за обнаружение ошибок в размере 250 000 долларов, чтобы предотвратить еще одно фиаско Spectre-Meltdown

После того, как критические уязвимости, такие как Meltdown и Spectre , были обнародованы, стало ясно, как никогда, что необходимо больше глазных яблок, когда дело доходит до обеспечения безопасности нашего программного и аппаратного обеспечения. Вскоре после того, как Intel пострадала от последствий Meltdown и Spectre, компания укрепила свою программу вознаграждения за обнаружение ошибок, чтобы побудить больше людей погрузиться в нее и обнаружить ошибки, прежде чем их можно будет использовать.

Корпорация Intel добилась больших успехов в улучшении программы в целом, исключив требование только по приглашению, позволив любому находить, исследовать и сообщать о потенциальных ошибках. Ясно, что Microsoft понравилась эта идея, так как она также расширила свою программу вознаграждения за обнаружение ошибок, чтобы предложить такое же вознаграждение в четверть миллиона долларов, которое выкашливает Intel.

Однако есть предостережение; этот конкретный набор правил вознаграждения за обнаружение ошибок предназначен исключительно для уязвимостей, связанных со спекулятивными ошибками выполнения, которые лежат в основе Meltdown и Spectre. Microsoft предоставляет подробные сведения о том, какой тип ошибки может быть квалифицирован:

  • Новая категория или метод эксплойта для уязвимости спекулятивного побочного канала выполнения.
  • Новый метод обхода мер, налагаемых гипервизором, хостом или гостем, с использованием атаки по побочному каналу со спекулятивным выполнением. Например, это может включать метод, который может считывать конфиденциальную память другого гостя.
  • Новый метод обхода мер, налагаемых Windows, с использованием атаки по побочному каналу со спекулятивным выполнением. Например, это может включать метод, который может считывать конфиденциальную память из ядра или другого процесса.
  • Новый метод обхода мер, налагаемых Microsoft Edge, с использованием атаки по побочному каналу со спекулятивным выполнением. Например, это может включать метод, который может считывать конфиденциальную память из содержимого Microsoft Edge.

Чтобы претендовать на большой «приз» в размере 250 000 долларов, заявка должна содержать ошибку, относящуюся к новой категории спекулятивной атаки, о которой не знают ни Microsoft, ни отраслевые партнеры. В идеале, это выплата, которую Microsoft будет платить чаще всего, потому что эти ошибки явно будут самыми серьезными. Другие уровни включают в себя чтение конфиденциальной памяти, связанной с виртуальными машинами, и проверку определенных ошибок, которые действительно можно использовать в некоторых продуктах Microsoft, таких как Windows 10 или веб-браузер Edge.

В целом, это отличный шаг со стороны Microsoft, и я, как обычные конечные пользователи, несколько обнадеживаюсь, увидев, что такое обязательство принимается.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал