示意圖,與新聞事件無關。

圖片來源: 

微軟

有鑒於今年一月爆發的Meltdown、Spectre漏洞造成資訊界一陣混亂迄今尚未平息,微軟周四公佈獎金高達25萬美元的限時抓蟲方案,請外部高手找出類似的漏洞。
 
這項今年12月31日截止的抓蟲獎勵方案旨在防範推測執行旁路攻擊漏洞(speculative execution side channel vulnerability)。微軟安全回應中心首席部門安全經理Philip Misner指出,今年初這批新種漏洞的揭露是安全研究界的重要進展。推測執行是前所未見的新型態漏洞,可以預見針對此類漏洞的攻擊手法也會持續推陳出新。
 
這項抓蟲獎勵方案分成4個層級(下圖,來源:微軟)。第一層將尋找出新型態推測執行旁路攻擊漏洞,獎金為25萬美元。第2、3層級目的分別是找出微軟Azure及Windows上可能繞過微軟現有緩解的攻擊漏洞,獎金皆為20萬美元。第4級則是尋找Windows 10、Microsoft Edge中已知的CVE-2017-5753或CVE-2017-5715(兩者皆被稱為Spectre)漏洞,這類漏洞必須要能曝露信賴區域中的敏感資訊,研究人員將能因此獲頒2.5萬美元。


 
微軟也提醒,依業界的協同漏洞揭露原則,微軟將會公佈此方案下找出的推測執行漏洞,以促使受影響的業者或產品能一同解決。
 
就在昨天,飽受這批漏洞困擾的英特爾也公佈將重新設計未來處理器產品,增加對Spectre及類似漏洞的防護。

 


Advertisement

更多 iThome相關內容