微软悬赏 25 万刀找 bug，以防止另一个熔毁和幽灵漏洞

由于像 Meltdown 和 Spectre 这样的关键漏洞已经公开，因此要确保我们的软件和硬件安全，需要有更多的人来关注。英特尔在遭受 Meltdown 和 Spectre 的巨大影响后，加强了它们的 bug 赏金计划，在 bug 被利用前，鼓励更多的人去发现 bug。

英特尔减少了“仅限受邀”的计划，允许任何人都能找到、发掘和报告潜在的错误，这大大提高了整体计划的质量。显然，微软喜欢这个想法，它也加强了自身的 bug 赏金计划。

不过要注意的是，这项特定的 bug 赏金针对 Meltdown 和 Spectre 的核心漏洞所独有的，微软列出了一些符合条件的情况：

• 利用预测执行漏洞进行侧信道攻击的新类型或利用方法
• 一种绕过系统管理程序、主机或访客使用预测执行漏洞进行侧信道攻击的新方法。例如，可以从另一个访客帐户读取敏感内存的技术

类似的还有可以从内核或其他进程读取敏感内存的技术，以及可以从 Microsoft Edge 内容中读取敏感内存的技术。

此外，要获得 25 万美元的大奖，提交的内容必须包含一个新型的预测执行攻击的错误，而且微软或行业合作伙伴都不知道。

原文：HOTHARDWARE 编译：开源中国