推测执行悬赏计划启动
今天,微软宣布启动针对推测执行侧信道漏洞的限时悬赏计划。这类新型漏洞于2018年1月被披露,代表了该领域研究的重大进展。为应对这一威胁环境变化,我们推出悬赏计划以鼓励针对此类新型漏洞的研究,以及微软已实施的缓解措施。
关键信息
- 悬赏期限:开放至2018年12月31日
- 完整详情:推测执行悬赏计划
- 悬赏条款:适用标准条款和条件
- 悬赏等级:
| 等级 | 奖金(美元) |
|---|---|
| 第1级:新型推测执行攻击类别 | 最高25万 |
| 第2级:Azure推测执行缓解措施绕过 | 最高20万 |
| 第3级:Windows推测执行缓解措施绕过 | 最高20万 |
| 第4级:Windows 10或Microsoft Edge中已知推测执行漏洞(如CVE-2017-5753)的可利用实例,该漏洞必须能够跨信任边界泄露敏感信息 | 最高2.5万 |
推测执行确实是一类新型漏洞,我们预计针对新攻击方法的研究已在开展。该悬赏计划旨在促进相关研究及漏洞的协调披露。第1级重点关注涉及推测执行侧信道的新型攻击类别。为帮助业界了解当前已知信息,我们的安全研究与防御团队已发布包含更多细节的博客。第2级和第3级侧重于识别可能绕过Windows和Azure中已添加的缓解措施的方法。第4级涵盖CVE-2017-5753或CVE-2017-5715的可利用实例。
推测执行侧信道漏洞需要全行业共同应对。为此,微软将根据协调漏洞披露原则,共享通过本计划获得的研究成果,以便受影响各方能协作解决这些漏洞。我们与安全研究人员携手,共同为客户构建更安全的环境。
Phillip Misner
首席安全组经理
微软安全响应中心