As falhas Meltdown e Spectre sacudiram o mercado de tecnologia, afetando quase todos os processadores feitos nas últimas duas décadas. As grandes empresas se mexeram para evitar que a história se repita: a Intel oferece até US$ 250 mil para quem encontrar vulnerabilidades semelhantes, e a Microsoft anunciou nesta quinta-feira (15) que vai fazer o mesmo.

O programa de recompensas da Microsoft tem validade até 31 de dezembro de 2018 e paga até US$ 250 mil aos pesquisadores que encontrarem as falhas consideradas mais graves, ou seja, categorias totalmente novas de ataques de execução especulativa. Caçadores de bugs que conseguirem burlar as mitigações do Windows ou Azure podem embolsar até US$ 200 mil.

Meltdown e Spectre

Execução especulativa é um recurso presente em quase todos os processadores modernos. Para acelerar o desempenho, os chips tentam adivinhar qual código será executado em seguida. Caso a previsão esteja errada, o resultado é descartado; caso esteja certa, há uma economia de tempo. No entanto, o Spectre pode induzir um processador a executar uma operação “adivinhada” que não seria executada em condições normais, vazando informações.

A Microsoft explica que “execução especulativa é verdadeiramente uma nova classe de vulnerabilidades, e nós acreditamos que pesquisas já estão sendo feitas para explorar novos métodos de ataque”. Portanto, o programa tem o objetivo de “promover essas pesquisas e permitir a divulgação coordenada de vulnerabilidades relacionadas a esses problemas”.

Todos os detalhes sobre o programa de recompensas para ataques de execução especulativa estão no site da Microsoft.

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.