Noticias
Microsoft anuncia programa de recompensas por vulnerabilidades de ejecución especulativa
Tras la aparición la de Meltdown y Spectre, las vulnerabilidades que se apoyan en la ejecución especulativa se han convertido en una preocupación para las principales compañías en el sector de la computación.
Con el fin de mejorar la seguridad de sus productos y los de algunos de sus socios frente a las vulnerabilidades de ejecución especulativa, Microsoft ha abierto un programa de recompensas hasta el 31 de diciembre de 2018 con la que se ofrecerán recompensas de hasta 250.000 dólares, que serán otorgadas a quienes identifiquen “nuevas categorías de ataques de ejecución especulativa.”
La ejecución especulativa de canal lateral es un tipo de vulnerabilidad que afecta a los procesadores de la mayoría de los fabricantes, incluidos Intel, AMD y ARM. En enero causaron un gran revuelo Spectre y Meltdown, dos vectores de ataque que abarcaron distintas vulnerabilidades, dos en el caso del primero y una en el segundo. Meltdown afectaba solo a modelos de procesadores concretos, sobre todo de Intel, y su resolución tuvo consecuencias a nivel de rendimiento aunque fue definitiva. Por su parte, Spectre, además de afectar a una cantidad mucho mayor de fabricantes, es imposible de corregir, por lo que al menos de momento solo se puede aspirar a que aparezcan más y más mitigaciones contra sus vulnerabilidades. De hecho, Microsoft ha justificado la puesta en marcha de este programa de recompensas “en reconocimiento de que el entorno de amenazas está cambiando.”
Por lo que se puede ver en la tabla, en el programa de recompensas hay cuatro niveles. El primero se centra en las ya mencionadas “nuevas categorías de ataques de ejecución especulativa de canal lateral”, los niveles 2 y 3 ponen en foco en “identificar posibles saltos para las mitigaciones que ya han sido añadidos a Windows y Azure para defenderlos de los ataques que han sido identificados”, mientras que el nivel cuatro cubre las instancias explotables de CVE-2017-5753 o CVE-2017-5715 (Spectre).
Recordamos que Microsoft publicó en el parche mensual correspondiente al mes de marzo nuevas actualizaciones contra Meltdown y Spectre que abarcan diferentes versiones del sistema operativo Windows.