Tas ir labi zināms, ka Windows ir neskaitāmas drošības problēmas. Pat šeit, vietnē WindowsReport, mēs gandrīz katru nedēļu rakstām par dažādām KB kļūdām un citām ievainojamībām.
Tagad Microsoft to pamatā atzīst palaišana jauna bug bounty programma, apbalvojot ikvienu, kurš atrod Meltdown, Spectre vai citas līdzīgas ievainojamības. Microsoft tos sauc arī par spekulatīviem izpildes sānu kanālu ievainojamībām.
Saspiežot drošības kļūdas, jūs varētu nopelnīt līdz pat 250 000 USD
Microsoft maksā no 5000 līdz 250 000 ASV dolāru atkarībā no ievainojamības smaguma pakāpes. Zemāk atrodiet kritērijus, kas jums jāatbilst, atklājot jaunas ievainojamības:
- Jauna spekulatīvās izpildes sānu kanāla ievainojamības kategorija vai izmantošanas metode.
- Jauna metode, kā apiet hipervizora, uzņēmēja vai viesa noteikto klimata pārmaiņu mazināšanu, izmantojot Spekulatīvās izpildes sānkanāla uzbrukumu. Piemēram, tas varētu ietvert tehniku, ar kuru var nolasīt sensitīvu atmiņu no cita viesa.
- Jauna metode, kā apiet Windows uzlikto klimata pārmaiņu mazināšanu, izmantojot spekulatīvas izpildes sānkanāla uzbrukumu. Piemēram, tas varētu ietvert paņēmienu, kas var nolasīt sensitīvu atmiņu no kodola vai cita procesa.
- Jauna metode, kā apiet Microsoft Edge noteikto seku mazināšanu, izmantojot spekulatīvās izpildes sānkanāla uzbrukumu. Piemēram, tas varētu ietvert tehniku, kas var nolasīt sensitīvu atmiņu no Microsoft Edge satura.
Jums ir laiks līdz 2018. gada beigām. Microsoft teica sekojošo:
“Microsoft paziņo par ierobežota laika prēmiju programmas palaišanu spekulatīvas izpildes sānu kanāla ievainojamībām. Šī jaunā ievainojamības klase tika atklāta 2018. gada janvārī, un tā bija ievērojams progress šajā jomā. Atzīstot šīs draudu vides izmaiņas, mēs uzsākam prēmiju programmu, lai veicinātu pētījumu veikšanu jaunā ievainojamības klase un mazināšanas pasākumi, ko Microsoft ir ieviesis, lai palīdzētu mazināt šo VS klasi jautājumiem. ”
Runājot par drošības pārkāpumiem, Intel iesaka Spectre un Meltdown ielāpus nevajadzētu instalēt, kamēr viss nav novērsts. Un, ja jūs uztraucaties, jūs varētu lejupielādēt šo rīku lai uzzinātu, vai jūsu dators ir neaizsargāts pret šiem draudiem.
