2022-12-01 14:35 (목)
MS, 스펙트라·멜트다운과 같은 결함...바그바운티로 25만 달러 걸어
상태바
MS, 스펙트라·멜트다운과 같은 결함...바그바운티로 25만 달러 걸어
  • 페소아 기자
  • 승인 2018.03.21 18:34
이 기사를 공유합니다

MS-7.jpg
마이크로소프트는 악명높은 취약점이였던 스펙트라(Spectre)와 멜트다운(Meltdown)과 유사한 취약점을 발견하는 연구원에게 2만5천에서 25만 달러에 달하는 버그바운티 프로그램을 시작했다.

이 프로그램은 2018년 12월까지 진행되며 마이크로소프트는 예측 실행(speculative execution) 부채널 취약점의 발견에 연구원들이 관심을 갖기를 바란다고 설명했다. “이 버그바운티 프로그램은 이 문제와 관련된 취약점의 연구와 조정된 공개를 촉진시키기 위해 만들어진 것이다”라고 마이크로소프트는 테크넷 블로그에서 밝혔다.

이 프로그램은 네개의 바운티 등급으로 이루어져있고, 티어1의 경우는 예측 실행 공격의 새로운 카테고리 발견으로 25만 달러의 보상을 받게된다. 티어2는 애저(Azure)의 예측실행 보호기법에 대한 우회기법으로 20만 달러까지의 보상이 있다. 티어3은 최대 20만 달러의 보상금으로 윈도우즈의 예측실행 보호기법 우회에 대한 것이다. 마지막으로 티어4는 윈도우즈10 또는 마이크로소프트 에지(Edge)에서 알려진 예측 실행 취약점(CVE-2017-5753 등)의 인스턴스를 찾는 사람들에게 최대 2만 5천 달러를 지불한다. 대상 취약점들은 트러스트 경계를 통해 중요한 정보를 노출시켜야 한다.

스펙트라, 멜트다운 취약점인 CVE-2017-5753(스펙트라), CVE-2017-5754(멜트다운), CVE-2017-5715(스펙트라)는 올해 1월에 공개되었다. 인텔에서 발견된 이들에 대한 패치가 적용되지 않은 상태로 남겨두면 원격코드 실행 및 커널수준 메모리 접근이 허용될 수 있다.

★정보보안 대표 미디어 데일리시큐!★