SIKKERHET

Microsoft betaler to millioner kroner til den som finner flere Spectre-aktige sikkerhetshull

Utlover heftig «dusør».

Esker med Intel Core i7-prosessorer fra 2012.
Esker med Intel Core i7-prosessorer fra 2012. Foto: AP Photo/Charles Krupa
15. mars 2018 - 23:13

De mye omtalte sikkerhetshullene kjent som Meltdown og Spectre har gjort mange nervøse, og det er såvisst ikke bare Intel som tar problemet på alvor. Nå har Microsoft kommet på banen med et fremstøt for å forebygge lignende farer i tiden fremover.

På sine hjemmesider kunngjør Windows-produsenten et nytt dusørprogram hvor de tilbyr den nette sum av 250 000 dollar, litt under to millioner kroner, til den som klarer å avdekke såkalte «speculative execution side channel»-sårbarheter.

Dette er den kategorien av sikkerhetshull som ble oppdaget av Google Project Zero i januar og som omfatter Spectre og Meltdown. Feilene går i korte trekk ut på at måten prosessorene håndterer operativsystemets kjernefunksjoner ikke er sikker nok. Dermed kan helt vanlig programvare snuse på og hente ut data når prosessoren jobber med systemoppgaver for Windows, Linux eller MacOS.

Tilbyr også mindre summer

Både Microsoft og Intel har tatt grep med en rekke program- og fastvareoppdateringer for å fikse problemer, men i et forsøk på å tette ytterligere hull ønsker Microsoft altså nå å hente inn ekspertise fra folkedypet ved å tilby penger – som for øvrig ikke er en uvanlig praksis blant IT-selskapene.

For å kvalifisere til å motta den generøse dusøren må man dokumentere at man har funnet en hittil ny og uoppdaget måte å utnytte sikkerhetshullene på. I tillegg må metoden være pålitelig, tilstrekkelig effektiv, og metoden må ikke minst fungere på den siste utgaven av Microsofts produkter – altså med alle sikkerhetstiltakene som er sluppet til nå.

Det er også naturlig nok et krav at man ikke er ansatt hos Microsoft, men utover dette kan alle sende inn bidrag. Den heftigste dusøren på 250 000 dollar gjelder som sagt helt nye utnyttelsesmetoder, men for oppdagelse av andre sårbarheter relatert spesifikt til Windows og skyplattformen Azure tilbys mindre dusørsummer.

Flere detaljer om det nye dusør-initiativet finner du hos Microsoft.

Lignende sikkerhetshull skal nå være oppdaget på AMD-prosessorer: Mange er imidlertid skeptiske til de nye rapportene »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.