示意圖,與新聞事件無關。

英特爾(Intel)於本周更新了於去年3月發表的Intel Bug Bounty Program抓漏獎勵專案,去除了只邀請特定資安研究人員參與的限制,讓廣大的資安社群都能幫英特爾抓漏,同時新設最高獎金達25萬美元的抓漏選項,以及將各個類別的安全漏洞最高獎金提高到10萬美元。

Google Project Zero團隊在今年1月揭露了存在於CPU中的「推測執行」(speculative execution)瑕疵,以及所衍生的3個安全漏洞,允許駭客利用旁路(side channel)攻擊手法存取記憶體內容,導致機密資訊外洩。

事實上,相關漏洞已存在超過20年,同時影響所有採用現代處理器架構的品牌,波及伺服器、桌上型電腦與行動裝置,卻一直到去年才被發現,當中影響最鉅的即是全球最大的處理器業者—英特爾。英特爾除了忙於緩解不同世代處理器的安全漏洞之外,也打算藉由更新抓漏獎勵專案來亡羊補牢。

負責平台安全的英特爾副總裁Rick Echevarria表示,經過協調後的漏洞揭露是保護客戶不受攻擊的最佳作法,它最小化了緩解程式釋出前的安全漏洞風險,並將藉由抓漏專案來建立正式且及時的漏洞揭露管道。

更新後的抓漏獎勵專案將從邀請式改為開放式,鼓勵所有的安全研究人員參與;即日起至今年12月31日止將新增旁路漏洞類別,最高獎金為25萬美元;對於既有的軟體、硬體與韌體等類別的安全漏洞,則將最高獎金從3萬美元提高到10萬美元。


Advertisement

更多 iThome相關內容