微软悬赏 25 万刀找 bug,以防止另一个熔毁和幽灵漏洞

由于像 Meltdown 和 Spectre 这样的关键漏洞已经公开,因此要确保我们的软件和硬件安全,需要有更多的人来关注。英特尔在遭受 Meltdown 和 Spectre 的巨大影响后,加强了它们的 bug 赏金计划,在 bug 被利用前,鼓励更多的人去发现 bug。

英特尔减少了“仅限受邀”的计划,允许任何人都能找到、发掘和报告潜在的错误,这大大提高了整体计划的质量。显然,微软喜欢这个想法,它也加强了自身的 bug 赏金计划。

不过要注意的是,这项特定的 bug 赏金针对 Meltdown 和 Spectre 的核心漏洞所独有的,微软列出了一些符合条件的情况:

  • 利用预测执行漏洞进行侧信道攻击的新类型或利用方法
  • 一种绕过系统管理程序、主机或访客使用预测执行漏洞进行侧信道攻击的新方法。例如,可以从另一个访客帐户读取敏感内存的技术

类似的还有可以从内核或其他进程读取敏感内存的技术,以及可以从 Microsoft Edge 内容中读取敏感内存的技术。

此外,要获得 25 万美元的大奖,提交的内容必须包含一个新型的预测执行攻击的错误,而且微软或行业合作伙伴都不知道。

原文:HOTHARDWARE 编译:开源中国

  • 发表于:
  • 原文链接https://www.oschina.net/news/94317/microsoft-offering-up-to-250000
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券