マイクロソフト社 支払いの準備について 、IoT プラットフォームのギャップを特定する場合、最大 XNUMX 万ドル , Linux カーネルに基づいており、コア サービスとアプリケーションにサンドボックス分離を使用します。 サブシステムの脆弱性を実証すると賞金が約束されている (チップ上に実装された信頼のルート) または (サンドボックス)。
この賞は XNUMX か月の一部です 、1年31月2020日からXNUMX月XNUMX日まで続きます。 この取り組みは特に Azure Sphere OS を対象としており、別の報酬プログラムにすでに含まれているクラウド サブシステムは含まれていません。 この賞を受賞するには、ローカル (アプリケーション侵害) またはリモート攻撃中に、デジタル署名されていないサードパーティ コードの実行、認証パラメーターの傍受、権限の昇格、設定の変更につながる可能性がある脆弱性を実証する必要があります。 、またはファイアウォール制限をバイパスします。 この調査を実施するために、Microsoft は参加者に製品とサービス、Azure Sphere SDK、技術ドキュメントへのアクセスを提供し、プラットフォーム開発者とのコミュニケーション チャネルを提供する用意があると表明しました。
Azure Sphere プラットフォームは、統合された周辺サブシステムを備えたエネルギー効率の高いマイクロコントローラー (MCU、マイクロコントローラー ユニット) に基づいたモノのインターネット デバイスを作成するために設計されています。 Azure Sphere は、スターバックスなどの企業の小売機器でも使用されています。 このプラットフォームの機能の XNUMX つは、暗号化、秘密キーの保存、および複雑な暗号化操作の実行のためのハードウェアを提供するように設計された Pluton サブシステムです。 Pluton には、別個の専用プロセッサ、暗号化エンジン、ハードウェア乱数ジェネレータ、および分離されたキー ストレージが含まれています。
さらに、注目できるのは、 Microsoft GitHub のプライベート リポジトリのコンテンツを見知らぬ人に販売しようとする試みについて。 この正体不明の人物は、GitHub でホストされている Microsoft のプライベート リポジトリから約 500 GB のデータをダウンロードできたと述べ、証拠としてスクリーンショットと 1 GB のデータを提供しました。 スクリーンショットは簡単に偽造でき、データには中国語のテキスト、テスト、コード スニペットを含む無意味なファイルのセットが含まれていたため、ほとんどの参加者は証拠が決定的ではないと判断しました。 マイクロソフトのエンジニアの一人 Microsoft には 30 日以内に公開しなければならないプロジェクトを GitHub のプライベート リポジトリに投稿するというルールがあるため、このリークは偽物である可能性が高いと述べています。
出所: オープンネット.ru