Microsoft heeft bekendgemaakt dat het een tijdelijk bugbountyprogramma in het leven roept om beloningen tot een kwart miljoen dollar uit te loven voor de ontdekking van lekken als Meltdown en Spectre. Eerder zette Intel een vergelijkbare stap.

Microsoft schrijft dat het programma tot het einde van het jaar duurt en zich richt op lekken die te maken hebben met speculative execution, een processortechniek die ten grondslag ligt aan de in januari gepubliceerde Meltdown- en Spectre-lekken. De hoogste beloning van 250.000 dollar geldt voor 'nieuwe categorieën van speculative execution-aanvallen". Daarmee biedt Microsoft evenveel geldt als Intel, dat eveneens een programma in het leven riep dat duurt tot het einde van dit jaar.

Daarnaast biedt Microsoft een lager bedrag van 200.000 dollar voor technieken die de bestaande tegenmaatregelen voor Spectre en Meltdown omzeilen. Zo vraagt het Redmondse bedrijf om exploits die mitigations in Azure ongedaan maken en om exploits die hetzelfde doen op Windows. Daarmee wil het bedrijf ontdekkers van dit soort aanvallen een aanzet geven om de technieken te delen, zodat het vervolgens zijn tegenmaatregelen kan verbeteren.

In een laatste categorie biedt Microsoft een beloning van 25.000 dollar voor een exploit die informatie kan lekken in Edge of Windows 10, op basis van de eerste en tweede variant van Spectre. Het bedrijf schrijft dat speculative execution-aanvallen een 'antwoord vanuit de gehele industrie' vereisen. Daarom wil het informatie die het in het kader van dit nieuwe programma verkrijgt, delen met andere bedrijven. In een afzonderlijke blogpost gaat het bedrijf in op de manier waarop het is omgegaan met Meltdown en Spectre.

Reacties mogelijk gemaakt door CComment