Meltdown及Spectre余波荡漾微软悬赏25万美元请高手找出类似漏洞

示意图，与新闻事件无关。

微软

有鑒于今年一月爆发的Meltdown、Spectre漏洞造成资讯界一阵混乱迄今尚未平息，微软周四公布奖金高达25万美元的限时抓虫方案，请外部高手找出类似的漏洞。
 
这项今年12月31日截止的抓虫奖励方案旨在防範推测执行旁路攻击漏洞（speculative execution side channel vulnerability）。微软安全回应中心首席部门安全经理Philip Misner指出，今年初这批新种漏洞的揭露是安全研究界的重要进展。推测执行是前所未见的新型态漏洞，可以预见针对此类漏洞的攻击手法也会持续推陈出新。
 
这项抓虫奖励方案分成4个层级（下图，来源：微软）。第一层将寻找出新型态推测执行旁路攻击漏洞，奖金为25万美元。第2、3层级目的分别是找出微软Azure及Windows上可能绕过微软现有缓解的攻击漏洞，奖金皆为20万美元。第4级则是寻找Windows 10、Microsoft Edge中已知的CVE-2017-5753或CVE-2017-5715（两者皆被称为Spectre）漏洞，这类漏洞必须要能曝露信赖区域中的敏感资讯，研究人员将能因此获颁2.5万美元。

 
微软也提醒，依业界的协同漏洞揭露原则，微软将会公布此方案下找出的推测执行漏洞，以促使受影响的业者或产品能一同解决。
 
就在昨天，饱受这批漏洞困扰的英特尔也公布将重新设计未来处理器产品，增加对Spectre及类似漏洞的防护。