Microsoft nabízí vysokou odměnu při hledání dalších chyb typu Meltdown a Spectre

Kdyby tak někdo přišel na exploit, který by mohl mít podobný dopad jako dnes dobře známý Meltdown a Spectre, mohl by upozorněním na něj získat od Microsoftu až 250.000 dolarů, přičemž podobné odměny v rámci programů obvykle označovaných jako "bug bounty" nejsou nic výjimečného. Vyplácí je také Google, který lidem takto rozdává na odměnách miliony dolarů a také Intel nabízí odměny. 

 

Microsoft - Redmond

 

Cílem ve všech případech je samozřejmě to, aby člověk, který narazí na zneužitelnou chybu, svůj nález ihned nahlásil příslušným společnostem a nedošlo k jejímu zneužití. Čtvrt milionu dolarů je přitom slušná motivace, ovšem jako obvykle to má své mantinely.  

 

Nová odměna od Microsoftu je určena pouze pro ty, kteří narazí na nové chyby ze soudku Speculative Execution Side Channel, což je právě i případ Meltdown a Spectre. Nemusí jít přitom o zcela novou kategorii exploitu, ale třeba jen o novou metodu jeho zneužití. V jednoduchém jazyce může jít o způsob, jakým lze přečíst citlivá data umístěná na stejném počítači, která však patří jinému uživateli a měla by být před takovýmto přístupem chráněna. 

 

Vedle toho Microsoft zmiňuje i jiný případ útoku Speculative Execution Side Channel, který zahrnuje techniku pro přečtení citlivých dat z jádra systému nebo jiného procesu a pak i speciální případ spojený s prohlížečem Microsoft Edge. 

 

Abychom měli nárok na odměnu, pak je pochopitelně třeba, aby nalezenou chybu Microsoft či jeho partneři dosud neznali. V případě nalezení celé nové kategorie útoků na spekulativní vykonávání kódu je minimální odměna sto tisíc dolarů, ale připraveny jsou i další odměny začínající na 5000 dolarech, které Microsoft popisuje na svém technetu.