为了支持针对Meltdown和Spectre做出的安全第一承诺,英特尔将向所有安全研究人员开放其Bug赏金计划,提高赏金奖励,并提供一个专门针对侧通道漏洞的新计划。
英特尔®Bug赏金计划于2017年3月启动,但直到现在仍是仅限邀请的计划。根据其HackerOne页面的数据,自成立以来已支付了93,000美元,平均赏金为5,000美元; 14个报告已解决,感谢15位安全研究人员。
当Brian Kzanich于1月11日发表公开信时,他的保证是:
到1月15日,我们将发布过去五年中至少90%推出的Intel CPU的更新,其余这些CPU的更新将在1月底发布。然后,我们将专注于根据客户的优先级发布较旧产品的更新。
Rick Echevarria在宣布扩大漏洞赏金计划时宣布,从仅邀请计划过渡到对所有安全研究人员开放的计划,将大大扩大合格人员的数量。研究人员。
根据修订后的计划,参与该计划的主要要求是:
您是以个人身份报告,或者如果您是另一家公司的雇员,则已获得该公司的书面批准,可以向英特尔的Bug Bounty计划提交报告。您年满18岁,如果未成年人,则以居住之前,您必须先获得父母或法定监护人的许可,然后才能进行举报。通常存在以下排除情况:不在美国受制裁的个人名单上或不在美国禁运的国家居住,并且您或任何家庭或家庭成员都不可能在6个月内为英特尔或其子公司之一工作。此外,您必须同意参与测试缓解效果并与英特尔协调发现的公开/发布/发布。
为了有资格获得赏金奖,报告必须标识原始的,以前未报告的且未公开的漏洞,并且必须使用英特尔PSIRT公共PGP密钥进行加密,可从https://security-center.intel.com/PGPPublicKey.aspx获得。报告必须包含有关该漏洞的清晰文档以及有关如何重现该漏洞的说明,并且需要使用两个已批准的CVSS v3计算器之一来包括评估的CVSS v3矢量字符串,得分和等级。
为了使之有价值,这是新的奖励计划,其中包括英特尔软件,固件和硬件。
您会注意到,最高奖励为100,000美元是针对Intel硬件中的漏洞的,包括:
处理器(包括微代码ROM +更新)芯片组FPGA网络/通信主板/系统(例如Intel Compute Stick,NUC)固态硬盘该计划包括的英特尔固件吸引了高达30,000美元的奖金,其中包括:
UEFI BIOS(英特尔是唯一被指定为维护者的钢琴核心组件)英特尔®管理引擎基板管理控制器(BMC)主板/系统(例如英特尔Compute Stick)固态硬盘而设备驱动程序,应用程序和工具属于软件,奖励最高可达10,000美元。
但是请注意,排除了英特尔已经知道的漏洞或不再受积极支持的预发行版本和版本。
新的持续时间有限的计划专门针对侧通道漏洞,这些漏洞是英特尔硬件的根本原因,可通过软件运行直至2018年12月31日。
该计划下的信息披露奖赏最高可达250,000美元:
同样,缓解漏洞的难度越大,英特尔将付出的代价就越大。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。