A közelmúlt nagy vihart kiváltott biztonsági ügye, a processzorokat érintő Spectre és Meltdown sebezhetőségek miatti aggodalom továbbra sem csillapodik, ezért a Microsoft a múlt héten meghirdetett előreláthatólag év végéig tartó bug bounty, azaz hibavadász programot.
A program speciális, ugyanis az újfajta sebezhetőségre, annak különböző típusaira koncentrál. Mégpedig a processzortervezésnél alkalmazott, a teljesítmény növelésére használt technológiához, a feltételes végrehajtáshoz (speculative execution) kapcsolódó sebezhetőségekre.
A program során négy kategóriában várják a jelentéseket:
- új típusú támadások feltárása
- az Azure,
- illetve a Windows platformra kiadott kockázatmérséklő eljárások kijátszási lehetőségek feltárása
- már ismert hibákra írt exploitok
A pénzdíjazás kategóriánként változik, az első esetben akár 250 ezer dollár is lehet.
A Microsoft szakemberei úgy vélik, hogy a Meltdown és a Spectre csak kettő a sok még feltáratlan sebezhetőségből, így ezek javításával csak mérsékeljük a kockázatokat. Ez motiválta a programot, melynek eredményeit elérhetővé teszik az érintett gyártók és partnerek számára.