Powszechnie wiadomo, że system Windows ma niezliczone problemy z bezpieczeństwem. Nawet tutaj, w WindowsReport, piszemy prawie co tydzień o różnych błędach KB i innych lukach.
Microsoft w zasadzie teraz to potwierdza, wodowanie nowy program bug bounty, nagradzający każdego, kto znajdzie Meltdown, Spectre lub inne podobne luki. Microsoft określa je również jako luki w zabezpieczeniach kanału po stronie wykonania spekulacyjnego.
Możesz zarobić nawet 250 000 USD, likwidując błędy bezpieczeństwa
Microsoft płaci od 5 000 do 250 000 USD w zależności od wagi luki. Znajdź poniżej kryteria, które musisz spełnić, gdy odkryjesz nowe luki:
- Nowatorska kategoria lub metoda wykorzystująca lukę w zabezpieczeniach kanału bocznego wykonania spekulacyjnego.
- Nowatorska metoda ominięcia ograniczenia narzuconego przez hipernadzorcę, hosta lub gościa za pomocą ataku Spekulacyjne wykonanie boczne. Na przykład może to obejmować technikę odczytywania wrażliwej pamięci od innego gościa.
- Nowatorska metoda obejścia łagodzenia narzuconego przez system Windows przy użyciu ataku Spekulacyjny kanał boczny (Speculative Execution Side Channel). Na przykład może to obejmować technikę odczytywania wrażliwej pamięci z jądra lub innego procesu.
- Nowatorska metoda obejścia łagodzenia narzuconego przez Microsoft Edge za pomocą ataku Speculative Execution Side Channel. Na przykład może to obejmować technikę, która może odczytywać poufną pamięć z zawartości Microsoft Edge.
Masz czas do końca 2018 roku. Microsoft powiedział, co następuje:
„Microsoft ogłasza uruchomienie ograniczonego czasowo programu nagród za luki w zabezpieczeniach kanału po stronie wykonania spekulatywnego. Ta nowa klasa luk została ujawniona w styczniu 2018 r. i stanowiła duży postęp w badaniach w tej dziedzinie. W uznaniu tej zmiany środowiska zagrożeń uruchamiamy program nagród, aby zachęcić do badań nad nowa klasa luk w zabezpieczeniach i środki łagodzące wprowadzone przez firmę Microsoft, aby pomóc złagodzić tę klasę problemy."
Mówiąc o naruszeniach bezpieczeństwa, Intel poleca nie powinieneś instalować łatek Spectre i Meltdown, dopóki wszystko nie zostanie naprawione. A jeśli się martwisz, możesz pobierz to narzędzie aby sprawdzić, czy Twój komputer jest podatny na te zagrożenia.