Gerai žinomas dalykas, kad „Windows“ turi begales saugumo problemų. Net ir čia, „WindowsReport“, beveik kas savaitę rašome apie įvairias KB klaidas ir kitas spragas.
„Microsoft“ dabar iš esmės tai pripažįsta paleidimas nauja „Bug Bounty“ programa, apdovanojanti visus, radusius „Meltdown“, „Spectre“ ar kitus panašius pažeidžiamumus. „Microsoft“ taip pat nurodo juos kaip spekuliacinius vykdymo šalutinio kanalo pažeidžiamumus.
Apsaugoję klaidas, galite uždirbti iki 250 000 USD
„Microsoft“ moka nuo 5 000 iki 250 000 USD, atsižvelgiant į pažeidžiamumo sunkumą. Žemiau rasite kriterijus, kuriuos turite atitikti atradę naujas spragas:
- Nauja kategorija arba išnaudojimo būdas spekuliacinio vykdymo šalutinio kanalo pažeidžiamumui.
- Naujas būdas apeiti hipervizoriaus, šeimininko ar svečio nustatytą sušvelninimą naudojant „Spekuliacinio vykdymo šoninio kanalo“ ataką. Pavyzdžiui, tai gali apimti techniką, kuri gali skaityti jautrią atmintį iš kito svečio.
- Naujas būdas apeiti „Windows“ nustatytą švelninimo metodą naudojant „Spekuliacinio vykdymo šoninio kanalo“ ataką. Pavyzdžiui, tai gali apimti techniką, kuri gali nuskaityti jautrią atmintį iš branduolio ar kito proceso.
- Naujas būdas apeiti „Microsoft Edge“ nustatytą švelninimo metodą naudojant „Spekuliacinio vykdymo šoninio kanalo“ ataką. Pavyzdžiui, tai gali apimti techniką, kuri gali nuskaityti neskelbtiną atmintį iš „Microsoft Edge“ turinio.
Turite laiko iki 2018 metų pabaigos. „Microsoft“ teigė:
„Microsoft“ praneša apie ribotos trukmės premijų programos, skirtos spekuliacinio vykdymo šalutinio kanalo pažeidžiamumui, paleidimą. Ši nauja pažeidžiamumų klasė buvo atskleista 2018 m. Sausio mėn. Ir buvo reikšminga pažanga šioje srityje. Pripažindami tą grėsmingą aplinkos pasikeitimą, mes pradedame premijų programą, kad paskatintume tyrimus naują pažeidžiamumo klasę ir „Microsoft“ įdiegtus švelninimo būdus, kad padėtų sušvelninti šią klasę Problemos."
Kalbėdamas apie saugumo pažeidimus, „Intel“ rekomenduoja neturėtumėte įdiegti „Spectre“ ir „Meltdown“ pleistrų, kol viskas bus pataisyta. O jei jaudinatės, galėtumėte atsisiųskite šį įrankį norėdami sužinoti, ar jūsų kompiuteris yra pažeidžiamas šių grėsmių.
