C'est une chose bien connue que Windows a d'innombrables problèmes de sécurité. Même ici, chez WindowsReport, nous écrivons presque chaque semaine sur divers bogues de la base de connaissances et autres vulnérabilités.
Microsoft le reconnaît maintenant essentiellement en lancement un nouveau programme de primes aux bogues, récompensant tous ceux qui trouvent Meltdown, Spectre ou d'autres vulnérabilités similaires. Microsoft les qualifie également de vulnérabilités de canal secondaire d'exécution spéculative.
Vous pourriez gagner jusqu'à 250 000 $ en éliminant les bogues de sécurité
Microsoft paie de 5 000 $ à 250 000 $ en fonction de la gravité de la vulnérabilité. Retrouvez ci-dessous les critères que vous devez remplir lors de la découverte de nouvelles vulnérabilités :
- Une nouvelle catégorie ou méthode d'exploitation pour une vulnérabilité Speculative Execution Side Channel.
- Une nouvelle méthode de contournement d'une atténuation imposée par un hyperviseur, un hôte ou un invité à l'aide d'une attaque Speculative Execution Side Channel. Par exemple, cela pourrait inclure une technique qui peut lire la mémoire sensible d'un autre invité.
- Une nouvelle méthode de contournement d'une atténuation imposée par Windows à l'aide d'une attaque Speculative Execution Side Channel. Par exemple, cela pourrait inclure une technique qui peut lire la mémoire sensible du noyau ou d'un autre processus.
- Une nouvelle méthode de contournement d'une atténuation imposée par Microsoft Edge à l'aide d'une attaque Speculative Execution Side Channel. Par exemple, cela pourrait inclure une technique capable de lire la mémoire sensible à partir du contenu Microsoft Edge.
Vous avez le temps jusqu'à fin 2018. Microsoft a déclaré ce qui suit :
« Microsoft annonce le lancement d'un programme de primes à durée limitée pour les vulnérabilités des canaux secondaires d'exécution spéculative. Cette nouvelle classe de vulnérabilités a été divulguée en janvier 2018 et a représenté une avancée majeure dans la recherche dans ce domaine. En reconnaissance de ce changement d'environnement de menace, nous lançons un programme de primes pour encourager la recherche sur la nouvelle classe de vulnérabilité et les mesures d'atténuation mises en place par Microsoft pour aider à atténuer cette classe de questions."
En parlant de failles de sécurité, Intel recommande vous ne devriez pas installer les correctifs Spectre et Meltdown tant que tout n'est pas corrigé. Et si vous êtes inquiet, vous pourriez télécharger cet outil pour voir si votre ordinateur est vulnérable à ces menaces.