Security-X

Forum Security-X => Sécurité Générale => Informations Générales => Discussion démarrée par: chantal11 le mars 16, 2018, 17:30:38

Titre: [Info] Microsoft : bug bounty pour des failles de type Spectre
Posté par: chantal11 le mars 16, 2018, 17:30:38

Bonjour,

Citer

Microsoft : bug bounty pour des failles de type Spectre

Avec jusqu'à 250 000 $ à la clé, Microsoft inaugure un programme de bug bounty portant sur les prochaines découvertes de vulnérabilités de type Spectre affectant les processeurs.

Jusqu'au 31 décembre 2018, Microsoft lance un programme de bug bounty centré autour des vulnérabilités de canal auxiliaire d'exécution spéculative. Un nouveau type de faille de sécurité qui fait référence à la découverte de Spectre, et sa divulgation en début d'année.

En l'occurrence, Spectre est une vulnérabilité matérielle affectant des implémentations de la fonctionnalité dite de prédiction de branchement au sein d'un processeur. Pour l'exécution d'un code, un processeur tire parti d'une exécution spéculative afin de la poursuivre de manière probabiliste.

Si elle réussit (information de la mémoire centrale correctement prédite), cette optimisation permet de gagner du temps par rapport à une exécution séquentielle. La vulnérabilité Spectre, dont deux variantes sont connues, permet notamment de forcer l'exécution spéculative depuis un autre processus, et récupérer des informations potentiellement sensibles.

Lire la suite sur GNT (https://www.generation-nt.com/microsoft-bug-bounty-faille-processeur-spectre-actualite-1952001.html)

L'annonce du programme Bug Bounty -> Speculative Execution Bounty Launch (https://blogs.technet.microsoft.com/msrc/2018/03/14/speculative-execution-bounty-launch/)