Microsoft oferece até US$ 250 mil para quem encontrar falhas semelhantes ao Meltdown e Spectre
As falhas Meltdown e Spectre sacudiram o mercado de tecnologia, afetando quase todos os processadores feitos nas últimas duas décadas. As grandes empresas se mexeram para evitar que a história se repita: a Intel oferece até US$ 250 mil para quem encontrar vulnerabilidades semelhantes, e a Microsoft anunciou nesta quinta-feira (15) que vai fazer o mesmo.
O programa de recompensas da Microsoft tem validade até 31 de dezembro de 2018 e paga até US$ 250 mil aos pesquisadores que encontrarem as falhas consideradas mais graves, ou seja, categorias totalmente novas de ataques de execução especulativa. Caçadores de bugs que conseguirem burlar as mitigações do Windows ou Azure podem embolsar até US$ 200 mil.
Execução especulativa é um recurso presente em quase todos os processadores modernos. Para acelerar o desempenho, os chips tentam adivinhar qual código será executado em seguida. Caso a previsão esteja errada, o resultado é descartado; caso esteja certa, há uma economia de tempo. No entanto, o Spectre pode induzir um processador a executar uma operação “adivinhada” que não seria executada em condições normais, vazando informações.
A Microsoft explica que “execução especulativa é verdadeiramente uma nova classe de vulnerabilidades, e nós acreditamos que pesquisas já estão sendo feitas para explorar novos métodos de ataque”. Portanto, o programa tem o objetivo de “promover essas pesquisas e permitir a divulgação coordenada de vulnerabilidades relacionadas a esses problemas”.
Todos os detalhes sobre o programa de recompensas para ataques de execução especulativa estão no site da Microsoft.