SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Microsoft подарит $250 тыс. за обнаружение уязвимостей

20 марта 2018 г., вторник, 15:41

Microsoft заплатит четверть миллиона долларов за демонстрацию атаки, аналогичной Meltdown или Spectre

Компания Microsoft объявила о запуске программы денежных поощрений, ориентированной на поиск уязвимостей, аналогичных Meltdown и Spectre, в системах Windows и Azure. Это принципиально новый класс аппаратных изъянов, которые связаны с так называемыми алгоритмами внеочередного и спекулятивного выполнения команд. Напомним, последние применяются для ускорения вычислений компьютерным процессором.

Алгоритм спекулятивного исполнения представляет собой систему прогнозирования действий пользователя, благодаря которой некоторые сценарии реализуются еще до получения соответствующих команд, что ускоряет работу устройства. В его основе лежит предсказуемость часто повторяющихся операций.

Такие алгоритмы являются характерной особенностью современных процессоров Intel. Именно с ними связана уязвимость Spectre, дающая пользовательским приложениям доступ к чтению произвольных участков памяти.

С помощью алгоритма внеочередного исполнения инструкции реализуются по мере их готовности к обработке, а не в порядке их поступления. Так, например, команда, данная последней, может оказаться на первом месте в очереди, если для этого созданы все условия. Это также значительно ускоряет вычислительные процессы. Однако с этим алгоритмом связана уязвимость Meltdown.

И Spectre, и Meltdown позволяют перехватывать зашифрованную информацию, в частности пароли и данные пользователей, и могут эксплуатироваться в любых операционных системах и на любой технике — компьютерах, серверах, телефонах или планшетах. Известно, что эти уязвимости присутствуют в большинстве процессоров Intel, AMD и ARM, выпущенных после 1995 года.

Впервые два дефекта обнаружил Янн Хорн (Jann Horn) из компании Google Project Zero. На сегодняшний день хакерских атак с их применением не зарегистрировано. Вероятно, это связано с тем, что кражу данных через Spectre и Meltdown практически невозможно диагностировать. Эксперты по безопасности также утверждают, что решение проблемы уязвимостей этого типа требует комплексных мер, включая обновление операционных систем и внесение изменений в процессорные алгоритмы.

После обнаружения Spectre и Meltdown Microsoft и ряд других компаний начали серьезную работу по поиску новых аналогичных изъянов и устранению уже обнаруженных путем корректировки микрокода. Решением этих вопросов занимается специальная команда — The Microsoft Security Response Center (MSRC), в которую входят ведущие эксперты отрасли.

В январе 2018 года компания выпустила первые обновления по безопасности для операционных систем Microsoft, направленные на устранение уязвимостей Spectre и Meltdown. Как отмечает отраслевое интернет-издание TechCrunch, применение новых патчей, к сожалению, снижает производительность компьютера на 5–30%. Кроме того, через несколько дней после выхода исправлений выяснилось, что они вызывают сбои в работе процессоров.

Теперь компания в дополнение к этому запустила программу Speculative Execution Side Channel Bounty Program, направленную на поощрение исследователей, нашедших новые уязвимости, аналогичные Spectre и Meltdown. Согласно условиям, за демонстрацию не известной ранее атаки этого типа корпорация Microsoft готова заплатить сумму до 250 тыс. долларов. За демонстрацию обхода недавно вышедших защитных мер в Windows или Azure можно заработать до 200 тыс. долларов. За обнаружение в Windows 10 или Microsoft Edge сходных изъянов денежное поощрение может достигнуть 250 тыс. долларов. Для получения вознаграждения необходимо предоставить PoC-код, извлекающий пользовательские данные.

Предлагая такие условия, Microsoft рассчитывает вовлечь большое количество специалистов в поиск опасных брешей и тем самым увеличить вероятность их обнаружения и скорейшего устранения. Срок действия программы ограничен и истекает в декабре 2018 года.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.069
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.