Meltdown及Spectre餘波盪漾，微軟懸賞25萬美元請高手找出類似漏洞

有鑒於今年一月爆發的Meltdown、Spectre漏洞造成資訊界一陣混亂迄今尚未平息，微軟周四公佈獎金高達25萬美元的限時抓蟲方案，請外部高手找出類似的漏洞。
 
這項今年12月31日截止的抓蟲獎勵方案旨在防範推測執行旁路攻擊漏洞（speculative execution side channel vulnerability）。微軟安全回應中心首席部門安全經理Philip Misner指出，今年初這批新種漏洞的揭露是安全研究界的重要進展。推測執行是前所未見的新型態漏洞，可以預見針對此類漏洞的攻擊手法也會持續推陳出新。
 
這項抓蟲獎勵方案分成4個層級（下圖，來源：微軟）。第一層將尋找出新型態推測執行旁路攻擊漏洞，獎金為25萬美元。第2、3層級目的分別是找出微軟Azure及Windows上可能繞過微軟現有緩解的攻擊漏洞，獎金皆為20萬美元。第4級則是尋找Windows 10、Microsoft Edge中已知的CVE-2017-5753或CVE-2017-5715（兩者皆被稱為Spectre）漏洞，這類漏洞必須要能曝露信賴區域中的敏感資訊，研究人員將能因此獲頒2.5萬美元。

 
微軟也提醒，依業界的協同漏洞揭露原則，微軟將會公佈此方案下找出的推測執行漏洞，以促使受影響的業者或產品能一同解決。
 
就在昨天，飽受這批漏洞困擾的英特爾也公佈將重新設計未來處理器產品，增加對Spectre及類似漏洞的防護。