由于像 Meltdown 和 Spectre 这样的关键漏洞已经公开,因此要确保我们的软件和硬件安全,需要有更多的人来关注。英特尔在遭受 Meltdown 和 Spectre 的巨大影响后,加强了它们的 bug 赏金计划,在 bug 被利用前,鼓励更多的人去发现 bug。
英特尔减少了“仅限受邀”的计划,允许任何人都能找到、发掘和报告潜在的错误,这大大提高了整体计划的质量。显然,微软喜欢这个想法,它也加强了自身的 bug 赏金计划。
不过要注意的是,这项特定的 bug 赏金针对 Meltdown 和 Spectre 的核心漏洞所独有的,微软列出了一些符合条件的情况:
利用预测执行漏洞进行侧信道攻击的新类型或利用方法
一种绕过系统管理程序、主机或访客使用预测执行漏洞进行侧信道攻击的新方法。例如,可以从另一个访客帐户读取敏感内存的技术
类似的还有可以从内核或其他进程读取敏感内存的技术,以及可以从 Microsoft Edge 内容中读取敏感内存的技术。
此外,要获得 25 万美元的大奖,提交的内容必须包含一个新型的预测执行攻击的错误,而且微软或行业合作伙伴都不知道。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
