Είναι γνωστό ότι τα Windows έχουν αμέτρητα προβλήματα ασφαλείας. Ακόμα και εδώ, στο WindowsReport, γράφουμε σχεδόν κάθε εβδομάδα για διάφορα σφάλματα KB και άλλες ευπάθειες.
Η Microsoft το αναγνωρίζει τώρα βασικά έναρξη ένα νέο πρόγραμμα bug bounty, επιβραβεύοντας όποιον βρίσκει Meltdown, Specter ή άλλες παρόμοιες ευπάθειες. Η Microsoft αναφέρεται επίσης σε αυτές ως ευπαθή κανάλια εκτέλεσης κερδοσκοπικής εκτέλεσης.
Θα μπορούσατε να κερδίσετε έως και 250.000 $, συμπιέζοντας σφάλματα ασφαλείας
Η Microsoft πληρώνει από 5.000 $ έως 250.000 $ ανάλογα με τη σοβαρότητα της ευπάθειας. Βρείτε παρακάτω τα κριτήρια που πρέπει να πληροίτε όταν ανακαλύπτετε νέες ευπάθειες:
- Μια νέα κατηγορία ή μέθοδος εκμετάλλευσης για ένα ευπαθές κανάλι κερδοσκοπικής εκτέλεσης.
- Μια νέα μέθοδος παράκαμψης ενός μετριασμού που επιβάλλεται από έναν επόπτη, έναν οικοδεσπότη ή έναν επισκέπτη χρησιμοποιώντας μια επίθεση με κερδοσκοπική εκτέλεση καναλιού. Για παράδειγμα, αυτό θα μπορούσε να περιλαμβάνει μια τεχνική που μπορεί να διαβάσει ευαίσθητη μνήμη από άλλο επισκέπτη.
- Μια νέα μέθοδος παράκαμψης ενός μετριασμού που επιβάλλεται από τα Windows με χρήση μιας επίθεσης Spekulative Execution Side Channel. Για παράδειγμα, αυτό θα μπορούσε να περιλαμβάνει μια τεχνική που μπορεί να διαβάσει ευαίσθητη μνήμη από τον πυρήνα ή άλλη διαδικασία.
- Μια νέα μέθοδος παράκαμψης ενός μετριασμού που επιβλήθηκε από το Microsoft Edge χρησιμοποιώντας μια επίθεση με κερδοσκοπική εκτέλεση καναλιού. Για παράδειγμα, αυτό θα μπορούσε να περιλαμβάνει μια τεχνική που μπορεί να διαβάσει ευαίσθητη μνήμη από το περιεχόμενο Microsoft Edge.
Έχετε χρόνο μέχρι το τέλος του 2018. Η Microsoft είπε τα εξής:
«Η Microsoft ανακοινώνει την έναρξη ενός προγράμματος περιορισμένης προθεσμίας για ευπάθειες από πλευράς κερδοσκοπικής εκτέλεσης. Αυτή η νέα κατηγορία ευπάθειας αποκαλύφθηκε τον Ιανουάριο του 2018 και αντιπροσώπευε μια σημαντική πρόοδο στην έρευνα σε αυτόν τον τομέα. Αναγνωρίζοντας αυτήν την απειλή της αλλαγής του περιβάλλοντος, ξεκινάμε ένα πρόγραμμα γενναιοδωρίας για να ενθαρρύνουμε την έρευνα τη νέα κατηγορία ευπάθειας και τους μετριασμούς που έχει θέσει η Microsoft για να βοηθήσει στην άμβλυνση αυτής της κατηγορίας θέματα."
Μιλώντας για παραβιάσεις ασφαλείας, Intel προτείνει δεν πρέπει να εγκαταστήσετε τις ενημερώσεις κώδικα Specter και Meltdown έως ότου επιδιορθωθούν όλα. Και αν ανησυχείτε, θα μπορούσατε κατεβάστε αυτό το εργαλείο για να δείτε εάν ο υπολογιστής σας είναι ευάλωτος σε αυτές τις απειλές.
