ProHoster > بلوق > أخبار الإنترنت > Microsoft назначил премию до $100000 за выявление уязвимости в Linux-платформе Azure Sphere

Microsoft назначил премию до $100000 за выявление уязвимости в Linux-платформе Azure Sphere

مايكروسوفت أعلن حول الاستعداد للدفع جائزةما يصل إلى مائة ألف دولار لتحديد ثغرة في منصة إنترنت الأشياء أزور سفير, مبني قائم على النواة Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме بلوتو (جذر الثقة المطبق على الشريحة) أو عالم آمن (رمل).

الجائزة جزء من ثلاثة أشهر برنامج البحوثوالتي ستستمر من 1 يونيو إلى 31 أغسطس 2020. تستهدف المبادرة على وجه التحديد نظام التشغيل Azure Sphere ولا تتضمن الأنظمة الفرعية السحابية، والتي تم تضمينها بالفعل في برنامج مكافآت منفصل. للحصول على الجائزة، يجب عليك إثبات وجود ثغرة أمنية يمكن أن تؤدي، أثناء هجوم محلي (تسوية التطبيق) أو هجوم عن بعد، إلى تنفيذ تعليمات برمجية تابعة لجهة خارجية غير موقعة رقميًا، واعتراض معلمات المصادقة، وتصعيد الامتيازات، وإجراء تغييرات على الإعدادات أو تجاوز قيود جدار الحماية. ولإجراء الدراسة، أعربت مايكروسوفت عن استعدادها لتزويد المشاركين بإمكانية الوصول إلى المنتجات والخدمات وAzure Sphere SDK والوثائق الفنية، فضلاً عن توفير قناة اتصال مع مطوري النظام الأساسي.

تم تصميم النظام الأساسي Azure Sphere لإنشاء أجهزة إنترنت الأشياء استنادًا إلى وحدات التحكم الدقيقة الموفرة للطاقة (MCU، وحدة التحكم الدقيقة) مع أنظمة فرعية طرفية متكاملة. يتم استخدام Azure Sphere أيضًا في معدات البيع بالتجزئة، على سبيل المثال، من قبل شركات مثل ستاربكس. إحدى ميزات النظام الأساسي هو نظام Pluton الفرعي، المصمم لتوفير أجهزة للتشفير وتخزين المفاتيح الخاصة وتنفيذ عمليات التشفير المعقدة. يتضمن Pluton معالجًا مخصصًا منفصلاً، ومحرك تشفير، ومولد أرقام عشوائية للأجهزة، ومخزن مفاتيح معزول.

بالإضافة إلى ذلك ، يمكن ملاحظته مظهر معلومة حول محاولة بيع محتويات مستودعات Microsoft GitHub الخاصة لأشخاص مجهولين. وذكر الشخص المجهول أنه تمكن من تنزيل حوالي 500 جيجابايت من البيانات من مستودعات مايكروسوفت الخاصة المستضافة على GitHub، وقدم لقطات شاشة و1 جيجابايت من البيانات كدليل. وجد معظم المشاركين أن الأدلة غير حاسمة، حيث كان من السهل تزوير لقطات الشاشة، وتضمنت البيانات مجموعة من الملفات التي لا معنى لها والتي تحتوي على نصوص واختبارات ومقتطفات برمجية صينية. أحد مهندسي مايكروسوفت تعليقات ذكر أن التسريب مزيف على الأرجح، نظرًا لأن Microsoft لديها قاعدة يتم بموجبها نشر المشاريع التي يجب أن تصبح عامة في غضون 30 يومًا في مستودعات خاصة على GitHub.

المصدر: opennet.ru

شراء استضافة موثوقة للمواقع مع حماية DDoS وخوادم VPS VDS 🔥 اشترِ استضافة مواقع ويب موثوقة مع حماية من هجمات DDoS، وخوادم VPS وVDS | ProHoster