Meltdown及Spectre余波荡漾，微软悬赏25万美元请高手找出类似漏洞

有鉴于今年一月爆发的Meltdown、Spectre漏洞造成资讯界一阵混乱迄今尚未平息， 微软周四 公布奖金高达25万美元的限时抓虫方案，请外部高手找出类似的漏洞。

这项今年12月31日截止的抓虫奖励方案旨在防范推测执行旁路攻击漏洞。微软安全回应中心首席部门安全经理Philip Misner指出，今年初这批新种漏洞的揭露是安全研究界的重要进展。推测执行是前所未见的新型态漏洞，可以预见针对此类漏洞的攻击手法也会持续推陈出新。

这项抓虫奖励方案分成4个层级。第一层将寻找出新型态推测执行旁路攻击漏洞，奖金为25万美元。第2、3层级目的分别是找出微软Azure及Windows上可能绕过微软现有缓解的攻击漏洞，奖金皆为20万美元。第4级则是寻找Windows 10、Microsoft Edge中已知的CVE-2017-5753或CVE-2017-5715漏洞，这类漏洞必须要能曝露信赖区域中的敏感资讯，研究人员将能因此获颁2.5万美元。

微软也提醒，依业界的协同漏洞揭露原则，微软将会公布此方案下找出的推测执行漏洞，以促使受影响的业者或产品能一同解决。 就在昨天，饱受这批漏洞困扰的 英特尔也公布 将重新设计未来处理器产品，增加对Spectre及类似漏洞的防护。