ช่องโหว่ Meltdown/Spectre ถูกพบมาตั้งแต่กลางปี 2017 และกลายเป็นปัญหาสำหรับผู้ใช้เป็นวงกว้าง สัปดาห์ที่ผ่านมาอินเทลก็ออกมาปรับนโยบายโครงการรายงานช่องโหว่ (bug bounty) เพื่อให้ครอบคลุมช่องโหว่ประเภทนี้แล้ว

Meltdown/Spectre เป็นกลุ่มการโจมตีโดยใช้ข้อมูลข้างเคียง (side-channel attack) คือระยะเวลาการเข้าถึงแคชเพื่อหาข้อมูลจากตำแหน่งอื่น ที่ปกติแล้วซอฟต์แวร์ไม่มีสิทธิ์อ่าน การโจมตีโดยใช้ข้อมูลข้างเคียงนี้ยังมีข้อมูลอื่นๆ ตั้งแต่เสียงพัดลม, ปริมาณการใช้ไฟฟ้า ฯลฯ

การขยายโครงการของอินเทล จะยอมรับการโจมตีโดยใช้ข้อมูลข้างเคียง เฉพาะที่ต้นเหตุอยู่ที่ฮาร์ดแวร์อินเทลเองเท่านั้น และต้องโจมตีด้วยซอฟต์แวร์ได้ ดังนั้นจะครอบคลุม Meltdown/Spectre แต่ไม่ครอบคลุมการสังเกตการไฟฟ้าของเซิร์ฟเวอร์ ความพิเศษของโครงการนี้คือตอนนี้อินเทลจำกัดเวลาไว้เฉพาะในปี 2018 เท่านั้น แต่จำนวนเงินกลับสูงกว่ารางวัลรายงานช่องโหว่อื่นๆ โดยระดับต่ำสุดเริ่มต้นที่ 5,000 ดอลลาร์ เทียบกับรางวัลปกติ 2,000 ดอลลาร์ และขึ้นไปถึง 250,000 ดอลลาร์

นอกจากการเพิ่มหมวดรางวัลใหม่แล้ว โครงการรายงานช่องโหว่ทั้งหมด ยังเปิดกว้างให้นักวิจัยภายนอกรายงานช่องโหว่เพื่อรับรางวัลได้ ไม่ต้องได้คำเชิญล่วงหน้าเหมือนแต่ก่อนแล้ว

ที่มา - Intel