推测执行悬赏计划启动
今天,微软宣布启动一项限时悬赏计划,专注于推测执行侧信道漏洞。这类新型漏洞于2018年1月披露,代表了该领域研究的重大进展。为应对这一威胁环境的变化,我们推出此悬赏计划,以鼓励研究这类新型漏洞及微软已实施的缓解措施。
快速事实
- 悬赏持续时间:开放至2018年12月31日
- 完整详情:推测执行悬赏计划
- 悬赏条款:适用标准条款和条件
- 悬赏层级(如下)
| 层级 | 奖励(美元) |
|---|---|
| 层级1:新型推测执行攻击类别 | 最高$250,000 |
| 层级2:Azure推测执行缓解措施绕过 | 最高$200,000 |
| 层级3:Windows推测执行缓解措施绕过 | 最高$200,000 |
| 层级4:Windows 10或Microsoft Edge中已知推测执行漏洞(如CVE-2017-5753)的可利用实例,必须能够跨信任边界披露敏感信息 | 最高$25,000 |
推测执行:新型漏洞类别
推测执行确实是一类新型漏洞,我们预计研究已经在探索新的攻击方法。此悬赏计划旨在促进这类研究及相关问题的协调披露。层级1专注于涉及推测执行侧信道的新型攻击类别。为帮助社区更好地了解行业当前已知信息,我们的安全研究与防御团队已发布博客提供更多信息。层级2和3专注于识别可能绕过已添加到Windows和Azure中以防御已识别攻击的缓解措施。层级4涵盖CVE-2017-5753或CVE-2017-5715可能存在的可利用实例。
行业响应与协作
推测执行侧信道漏洞需要行业响应。为此,微软将根据协调漏洞披露原则,分享在此计划下披露的研究,以便受影响方可以协作解决这些漏洞。与安全研究人员一起,我们可以为客户构建更安全的环境。
Phillip Misner
首席安全组经理
微软安全响应中心