英特尔(Intel)承诺向发现其处理器中新的侧通道漏洞的安全研究人员提供至多25万美元的奖金。
自从英特尔(Intel)和一些科技公司披露,20年前的设计缺陷可能会让地球上几乎所有的电脑暴露于所谓的侧通道漏洞以来,Meltdown和Spectre一直是云计算和企业数据中心优先考虑的对象。英特尔和操作系统供应商已经发布了几个补丁来减轻这些漏洞的影响,但毫无疑问,老练的恶意黑客正在寻找利用这些设计缺陷的新方法。
英特尔在周三的一篇博客文章中说,作为回应,英特尔将把其漏洞奖励计划从仅接受邀请改为一个公共计划,并向那些报告该芯片巨头存在新的旁路漏洞的研究人员提供最高25万美元的奖励。该公司还将把发现(和机密报告)一般安全漏洞的奖金提高到10万美元。
英特尔副总裁兼平台安全总经理Rick Echevarria在博客中表示:“我们相信,这些变化将使我们能够更广泛地参与安全研究社区,并为协调一致的响应和披露提供更好的激励,帮助保护我们的客户及其数据。”
Bug赏金是发现软件和硬件Bug的一种非常流行的方法。所有的科技产品在某种程度上都有缺陷;毕竟,它们是由人类发展出来的。赏金计划鼓励安全研究人员直接向负责该产品的公司报告这些漏洞,而不是将这些漏洞的细节公布在公共互联网上。如今,几乎所有主要的技术供应商都在使用这种计划。
在这个特殊的例子中,侧通道漏洞需要大量的专业知识来利用,这使得它们比一般的漏洞更有价值。这些攻击是基于在您希望利用的软件程序的硬件实现中找到一种模式,例如在Meltdown和Spectre漏洞中使用的推测执行技术。
除非英特尔和其他芯片制造商设计出能够绕过这些侧通道漏洞的硬件,并让终端用户循环使用他们的旧硬件,否则这个问题将会存在很长一段时间。