check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

MS, 스펙트라·멜트다운과 같은 결함...바그바운티로 25만 달러 걸어

2018년 03월 21일(수)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

MS-7.jpg
마이크로소프트는 악명높은 취약점이였던 스펙트라(Spectre)와 멜트다운(Meltdown)과 유사한 취약점을 발견하는 연구원에게 2만5천에서 25만 달러에 달하는 버그바운티 프로그램을 시작했다.

이 프로그램은 2018년 12월까지 진행되며 마이크로소프트는 예측 실행(speculative execution) 부채널 취약점의 발견에 연구원들이 관심을 갖기를 바란다고 설명했다. “이 버그바운티 프로그램은 이 문제와 관련된 취약점의 연구와 조정된 공개를 촉진시키기 위해 만들어진 것이다”라고 마이크로소프트는 테크넷 블로그에서 밝혔다.

이 프로그램은 네개의 바운티 등급으로 이루어져있고, 티어1의 경우는 예측 실행 공격의 새로운 카테고리 발견으로 25만 달러의 보상을 받게된다. 티어2는 애저(Azure)의 예측실행 보호기법에 대한 우회기법으로 20만 달러까지의 보상이 있다. 티어3은 최대 20만 달러의 보상금으로 윈도우즈의 예측실행 보호기법 우회에 대한 것이다. 마지막으로 티어4는 윈도우즈10 또는 마이크로소프트 에지(Edge)에서 알려진 예측 실행 취약점(CVE-2017-5753 등)의 인스턴스를 찾는 사람들에게 최대 2만 5천 달러를 지불한다. 대상 취약점들은 트러스트 경계를 통해 중요한 정보를 노출시켜야 한다.

스펙트라, 멜트다운 취약점인 CVE-2017-5753(스펙트라), CVE-2017-5754(멜트다운), CVE-2017-5715(스펙트라)는 올해 1월에 공개되었다. 인텔에서 발견된 이들에 대한 패치가 적용되지 않은 상태로 남겨두면 원격코드 실행 및 커널수준 메모리 접근이 허용될 수 있다.

★정보보안 대표 미디어 데일리시큐!★


페소아 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기