微软有奖悬赏发现“幽灵”新漏洞，最高可获得25万美元报酬

看起来“熔断”、“幽灵”漏洞对我们的影响其实是在逐渐消散的，不过即使Google Project Zero团队已经抢先发现该漏洞并给Intel留出足够长的时间准备，微软依然认为这个类似的领域还是需要更多的时间投入研究（主要是指预测执行）。在上周三（3月14日），微软在TechNet频道博客当中公布一则有偿的“漏洞悬赏”，如果发现特定的、利用预测执行来获取敏感信息的漏洞，将获得微软提供的奖金，最高可以获得25万美元，按照撰稿时的汇率（1：6.33），这相当于158.3万人民币，买房虽然还差点但至少够拍拖。

微软将悬赏研究的条件分为四个层次，最低一级的层次是Tier-4，这一层的条件是最简单的，如果你在目前的Windows 10系统，或是Microsoft Edge浏览器当中找到基于预测执行原理诱发的漏洞（比如说CVE-2017-5753），并且可以展示一次通过绕过信用边界（Trust Boundary）获得敏感信息，说明你找到的确实是有效的问题，那么可以获得25000美元的奖励，算是比较基础的报酬。而Tier-3、Tier-2的条件较高，需要你在Windows、Azure平台找到特定的Mitigaion Bypass来帮助更好的抵御攻击，这两个报酬已经达到20万美元，而最高的Tier-1，需要你找到基于预测执行、目前范围下，但属于全新的、目前尚未发现的攻击类别，这个就比较厉害，可以说是大家还没有发现的新区域，而奖励就是最高的25万美元。

注意，这些漏洞可是不限平台、设备的，而只是聚焦于Windows、Microsoft Edge等产品，或是Azure平台层面，看起来这次的漏洞真的给业界不小的冲击。用着旧机不爽的你，是否准备购买一波新装备啦，想要各类硬件推荐的请找小超哥（微信9501417），也可以让小超哥拉你进去超能群与其他网友一起聊哦~