最高授予 250,000 美元獎勵
為了預防再次出現 Spectre / Meltdown 的嚴重安全漏洞,Microsoft 在一篇博客文章中宣佈已決定推出一個名為“Speculative Execution”的尋找漏洞賞金計劃,由 2018 年 3 月 14 日起至2018年12月31日,Microsoft 將提供資金予安全研究人員提交有關推測執行攻擊方法的新漏洞,涉及的層面包括Windows hosts、hypervisors、OS kernel memory 及 Microsoft Edge browser,基於四個“賞金級別”將會提供25,000美元至250,000美元的賞金。
Microsoft新的漏洞獎勵計劃分為四個不同的嚴重程度/級別,新漏洞缺陷(新類別的推測性執行攻擊)授予高達 250,000 美元的獎勵,用於“協調披露”此類漏洞,Microsoft的主要目是透過用家的日常使用知識及意願,會找到可能存在的安全漏洞,他們可將尋找到的漏洞提供予Microsoft,從而獲得獎金,並可以協助技術行業及時發現漏洞、協調防禦並可節省大量的資金和時間。
Microsoft 四個“賞金級別”:
-等級 1 代表新投機執行方式的渠道攻擊
-第 2 層和第 3 層用於“識別已添加到Windows和Azure的緩解措施 bypasses”
-第 4 層用於演示 Specter 變體 1(CVE-2017-5753)或 Specter 變體 2(CVE-2017-5715)的“可利用實例”
Microsoft Speculative Execution 賞金計劃條款:
https://technet.microsoft.com/en-us/library/mt846432.aspx