Dopo Intel e anche Microsoft ha deciso di premiare i ricercatori che scoveranno vulnerabilità side-channel legate all'esecuzione speculativa dei microprocessori.
In un articolo su TechNet intitolato "Speculative Execution Bounty Launch", la casa di Redmond ha presentato un nuovo programma di "bug bounty" limitato nel tempo, fino al 31 dicembre di quest'anno, con ricompense fino a 250.000 dollari. Sono quattro i livelli dello Speculative Execution Bounty Program.
"La speculative execution è davvero una nuova classe di vulnerabilità (Meltdown e Spectre, ndr) e ci aspettiamo che la ricerca già in corso porti a esplorare nuovi metodi di attacco. Questo programma è inteso come un modo per favorire questa ricerca e una divulgazione coordinata legata a questi problemi", spiega Microsoft.
Il primo livello (ricompensa fino a 250mila dollari) si concentra su nuove categorie di attacchi, mentre i due livelli successivi (fino a 200mila dollari) sull'identificazione di modi per superare le mitigazioni che sono state inserite in Windows e Azure come difesa dagli attacchi identificati.
Il quarto livello (fino a 25mila) si occupa di rintracciare istanze sfruttabili delle vulnerabilità note legate all'esecuzione speculativa in Windows 10 o nel browser Edge. In pratica si tratta di una vulnerabilità che devono consentire la divulgazione di informazioni sensibili tramite un cosiddetto "trust boundary", termine che identifica un limite in cui un programma cambia il suo livello di trust.
"Tali vulnerabilità richiedono una risposta industriale. A tal fine, Microsoft condividerà, secondo i principi della divulgazione coordinata, la ricerca sottoposta nell'ambito di questo programma in modo che le parti interessate possano collaborare alle soluzioni a tali vulnerabilità. Insieme ai ricercatori di sicurezza, possiamo costruire un ambiente più sicuro per i clienti", aggiunge la casa di Redmond.
Ricordiamo che nelle scorse ore Intel ha spiegato - seppur non nel modo più dettagliato possibile - che quest'anno arriveranno nuovi processori con correttivi anche in hardware per affrontare gli attacchi come Spectre e Meltdown. AMD ha promesso cambiamenti contro gli attacchi Spectre (le sue CPU sono immuni a Meltdown) con l'architettura Zen 2 in arrivo nel 2019.
