พายุกำลังมา Intel จ่ายเงินรางวัลช่องโหว่ระดับสูงสุด 100,000 ดอลลาร์ พร้อมรายงานช่องโหว่ Spectre แบบใหม่

2018-07-11

เมื่อวานนี้อินเทลจ่ายเงินรางวัลรายงานช่องโหว่ผ่านแพลตฟอร์ม HackerOne เป็นเงิน 100,000 ดอลลาร์ นับเป็นเงินรางวัลที่สูงที่สุดตั้งแต่เปิดโครงการมา โดยตอนนี้ยังไม่มีข้อมูลว่าเป็นช่องโหว่อะไร ในวันเดียวกันยังมีอีกช่องโหว่ได้เงินรางวัลไป 20,000 ดอลลาร์

โครงการรายงานช่องโหว่ของอินเทลมีเพดานสูงสุด 100,000 ดอลลลาร์สำหรับช่องโหว่ระดับวิกฤติในฮาร์แวร์ และยังมีโครงการพิเศษรายงานช่องโหว่ side-channel แบบ Sprectre/Meltdown เพดานสูงสุด 250,000 ดอลลาร์ เงินรางวัล 100,000 ดอลลาร์จึงเป็นไปได้สองแนวทาง ว่าช่องโหว่นี้เป็นช่องโหว่ฮาร์ดแวร์ระดับวิกฤติ หรือช่องโหว่ side-channel ระดับสูง

อินเทลจ่ายเงินในช่วงเวลาเดียวกับที่รายงานช่องโหว่ Spectre แบบใหม่ เรียกว่า Bounds Check Bypass Store ที่แยกออกมาจาก Bounds Check Bypass หรือ Spectre variant 1

ยังไม่มีการยืนยันว่าช่องโหว่ 100,000 ดอลลาร์นั้นเป็นช่องโหว่ Spectre ที่รายงานออกมาหรือไม่ หน้าโครงการ HackerOne ของอินเทลเองก็ไม่เคยเปิดเผยรายาน

นอกจากช่องโหว่เหล่านี้ อินเทลปล่อยแพตช์ออกมาพร้อมกันอีกหลายตัว ใน Security Center หลายตัวเกี่ยวข้องกับความปลอดภัยเฟิร์มแวร์ ผู้ใช้ระดับองค์กรควรตรวจสอบผลกระทบและเร่งอัพเดต

ที่มา – The Register, Intel

Topics: