Microsoftは、Azure SphereLinuxの脆弱性に対して最大100,000ドルを支払います

Darkcrizt

4分

ピープル Microsoft 彼は彼と一緒に家を窓の外に投げたかった 最近の発表 彼はその中でe最大XNUMX万ドルの報酬を喜んで支払う 彼らを特定し、共有するために来る人々に Azure SphereIoTプラットフォームのセキュリティギャップ これは、Linuxカーネルに基づいて構築されており、基本的なサービスとアプリケーションにサンドボックス分離を使用しています。

この賞は、Plutonサブシステムの脆弱性を実証するために約束されています (チップに実装された信頼のルート)またはSecure World(サンドボックス)。 この一連の報酬は、のプログラムの一部です。 新しいXNUMXか月のチャレンジ また、AzurePlutoとAzureSecureWorldでコードを実行できる研究者に最高の$ 100,000の報酬を提供します。

Azure Sphereアプリケーションプラットフォームには、Linuxでユーザーモードに相当するNormal Worldと、SecurityMonitorが実行されるMicrosoftのカスタムLinuxカーネルの下にあるSecureWorldが含まれています。 Microsoftが提供するコードのみが、スーパーバイザーモードまたはSecureWorldで実行できるとMicrosoftは述べています。

わからない場合 AzureSphereプラットフォームの Internet ofThingsデバイスを作成するように設計されていることを知っておく必要があります (IoT)作成 低電力マイクロコンピュータに基づく (MCU、マイクロシステムユニット)統合された周辺サブシステム。

AzureSphereも 小売機器で使用たとえば、スターバックスのような企業。 プラットフォームの特徴のXNUMXつはサブシステムです 暗号化用のハードウェアを提供するように設計されたPluton、 秘密鍵を保存し、複雑な暗号化操作を実行します。 Plutonには、個別の専用プロセッサ、暗号化エンジン、ハードウェアランダム番号ジェネレータ、および分離キーストアが含まれています。

このイニシアチブは、特にAzure SphereOSを対象としています また、別の報酬プログラムにすでに含まれているクラウドサブシステムは含まれていません。

この新しい研究課題は、ハードウェア、オペレーティングシステム、およびクラウド全体にエンドツーエンドのセキュリティを提供する包括的なIoTセキュリティソリューションであるAzureSphereに関する新しい影響力の大きいセキュリティ研究を生み出すことを目的としています。 Azure Sphereは事前にデフォルトでセキュリティを実装しますが、MicrosoftはセキュリティがXNUMX回限りのイベントではないことを認識しています。

リスクは、増え続けるさまざまなデバイスやサービスの存続期間にわたって常に軽減する必要があります。 悪意のあるユーザーが行う前に、影響の大きい脆弱性を調査するためにセキュリティ研究コミュニティを関与させることは、リスクを最小限に抑えるためにAzureSphereが採用している全体的なアプローチの一部です。

ボーナスを受け取るには、脆弱性を示す必要がありますローカル攻撃 (アプリケーションのコミットメント) またはリモート、 デジタル署名で認証されていないサードパーティのコード、認証パラメータの傍受、特権の増加、構成の変更、またはファイアウォールの制限の回避につながる可能性があります。

研究を実施するために、 マイクロソフトは、参加者に製品やサービスへのアクセスを提供する意思を表明しました、Azure Sphere SDK、技術ドキュメント、およびプラットフォーム開発者との通信チャネルの提供。

マイクロソフトは、IoTセキュリティ研究の専門知識をもたらすいくつかのテクノロジー企業と提携してAzure Sphere Security Research Challengeを立ち上げました。これらのパートナーには、Avira、Baidu International Technology、Bitdefender、Bugcrowd、Cisco Systems(Talos)、ESET、FireEyeが含まれます。 、F-Secure、HackerOne、K7 Computing、McAfee、Palo Alto Networks、およびZscaler。

この研究プログラムへのアクセスをリクエストすることに興味がある場合は、 次の申請書に記入する必要があります 15年2020月XNUMX日より前。

申請書は毎週審査され、承認された研究者には電子メールで通知されます。 この研究課題は 1年2020月XNUMX日 アップ 31年2020月XNUMX日 オープンアプリケーションを通じて受け入れられた研究者向け。

最後に、それについてもっと知りたい場合は、詳細を調べることができます 次のリンクで。 


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。