Microsoft は、1 月の Meltdown や Spectre プロセッサの CPU 設計上の欠陥などの投機的実行バグに特化した新しいクラスのバグ報奨金制度を作成しました。
レドモンド氏は、プロジェクト・ゼロの発見は「この分野の研究における大きな進歩を表す」と指摘し、報奨金は2018年12月31日まで有効だと述べた。
新たな投機的実行攻撃を実証した場合、Microsoft から最高額の報奨金が支給されます。報奨金は、Windows(パッチ適用済みのシステムでの情報漏洩)または Azure(攻撃者の VM に割り当てられていないメモリの読み取り)向けの既存の Microsoft 緩和策を回避することで、最大 20 万ドルとなります。
さて、深呼吸してリラックスしましょう...これらの厄介なAMDチップのセキュリティ欠陥を冷静に見てみましょう
続きを読む
Windows 10 または Microsoft Edge で Meltdown または Spectre の新しいインスタンスを発見した研究者は、その脆弱性を利用して「信頼境界を越えて機密情報を漏洩できる」ことを証明した場合のみ、最大 25,000 ドルの報酬を得ることができます。
マイクロソフト セキュリティ レスポンス センターのフィリップ ミスナー氏が新しい報奨金の発表の中で述べたように、「投機的実行クラスでは、新たな攻撃手法を模索する研究がすでに進行中であると予想されます」。
投機的処刑報奨金の全利用規約は、こちらをご覧ください。
バグが発見されてから、レドモンドはバグについてより深く理解する時間があり、Meltdown と Spectre について詳細に議論した記事をここに掲載しました。®
