URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 120563
[ Назад ]
Исходное сообщение
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено opennews , 07-Май-20 09:46 
Компания Microsoft объявила о готовности выплатить премию, размером до ста тысяч долларов, за выявление бреши в IoT-платформе Azure Sphere, построенной на базе ядра Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме Pluton  (корень доверия, реализованный в чипе) или Secure World (sandbox)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52892

Содержание
Сообщения в этом обсуждении
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено ryoken , 07-Май-20 09:46 
А сколько граждане жулики за такие дырки согласны отдать денег?
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аннонним , 07-Май-20 09:58 
Вы имеете в виду плату от заказчиков таких бэкдоров, которые нельзя обнаружить даже за 100000$?
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 10:20 
Зависит от того, сколько на этой дырке можно заработать.
Массовая эксплуатация уязвимости неизбежно привлечёт к ней внимание, и кто-то ее переоткроет и получится свои стотыщ. Плюс само наличие официальной баг баунти программы означает высокий риск того, что купленную на чёрном рынке уязвимость может найти кто-то другой уже завтра.
Так что для не особо широко используемого продукта на чёрном рынке вряд ли заплатят больше объявленного бонуса.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 11:04 
Зато теперь когда никто никаких дыр можно бесплатно говорить что дистр безопасный. Хотя майки сами туда бекдоры и вставили.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 10:11 
> подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций

Такие вещи должны математически верифицироваться и доказывается невозможность взлома.

Вместо этого M$ предлагает поискать дыру и продать найденное ейже.

Конечно дыру поищут. А вот продадут ли ее M$ - это вопрос.

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 10:22 
Верификация не защищает от уязвимостей в зависимостях. Верифицировать же все зависимости нереально.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 11:02 
Это надо чтобы хоть кто-то начал ее изучать и пользоваться. А 100к это морковка чтобы ослы за ней потянулись.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 11:38 
именно. лучше бы пообещали 100к первому опеннет комментатору, который выучит русский язык
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 11:36 
>в 100 000 долларов
>ДО ста тысяч долларов

Ясно.

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 19:38 
Понятно.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено ютуб ютубов , 07-Май-20 12:24 
всё, пошел искать уязвимости. сто тысяч долларов лишними не будут
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Led , 07-Май-20 12:46 
Лучше иди искать сто тысяч долларов - для тебя это реальнее.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено ютуб ютубов , 07-Май-20 13:49 
И мне не указывай, я лучше тебя знаю, что мне делать
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 08-Май-20 07:23 
Как и для тебя.
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 12:31 
> `в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней. `

чиво? нет такого

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 12:33 
блин вы уточняйте, что это репозитории от Майкрософта,а не юзеров, Майкрософт же купил гитхаб
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено YetAnotherOnanym , 07-Май-20 12:54 
>  Azure Sphere

Мда... Взять клиентов на такой короткий поводок - MS превзошли самих себя.

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 13:06 
>>назначил премию в $100000 за выявление уязвимости...

и

>>объявила о готовности выплатить премию, размером до ста тысяч >>долларов, за выявление бреши...

никто кроме меня не видит в этом принципиальной разницы?!!!

>>назначил премию в $100000

и
>>готовности выплатить до ста тысяч долларов

КАРЛ?!
!!!!

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Аноним , 07-Май-20 13:08 
Верните в зад старый ламповый опеннет!!!!
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено ха , 07-Май-20 15:17 
Что здесь делает эта реклама проприетарного сервиса?
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено microsoft , 07-Май-20 17:48 
Нууу пока прайс не подростет раз в 10...
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Страдивариус , 07-Май-20 20:07 
Кто нибудь расскажет причем здесь IoT?
"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено YetAnotherOnanym , 07-Май-20 21:19 
> Кто нибудь расскажет причем здесь IoT?

При том, что MS пропихивает концепцию IoT, в которой устройства оснащены микроконтроллером с прошивкой на основе Linux, в которой каждый чих и каждый пук делаются через облачный сервис, развёрнутый на Азуре.

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено Страдивариус , 07-Май-20 21:23 
>> Кто нибудь расскажет причем здесь IoT?
> При том, что MS пропихивает концепцию IoT, в которой устройства оснащены микроконтроллером
> с прошивкой на основе Linux, в которой каждый чих и каждый
> пук делаются через облачный сервис, развёрнутый на Азуре.

Нихера се IoT. То, что с Linux на борту - это уже не IoT, а полноценный компьютер фактически.

"Microsoft назначил премию в $100000 за выявление уязвимости ..."
Отправлено MS , 08-Май-20 12:46 
Это не мы ее пропихиваем - ее уже индусы до нас пропихнули.

Ну ты же хочешь приложеньице на мабилочке, чтоб спустить воду в унитазе уже доехав до работы? Ну и как тебе эту фичечку предоставить без облачкоооов?

И я бы на твоем месте - выбирал наше решение - потому что уже было минимум две истории (гуг... бингуй) когда индусский стартап превращался в тыкву из-за того что Ипать Раджа сбежал со всеми деньгами, и в результате умные дома превращались в сараи без света и отопления (иногда еще и приходилось звонить 911, потому что входная дверь была шибкоумная и запирала хозя....жильца внутри, поскольку команды от хозяина на открытие не получала).

"Microsoft назначил премию до $100000 за выявление уязвимости..."
Отправлено Lex , 07-Май-20 21:06 
“в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней”

-Однако самое главное, как всегда, мельком и между строк.
Собсно, это всё, что нужно знать о гитхабовской безопасности даже по меркам владельца гитхаба...

"Microsoft назначил премию до $100000 за выявление уязвимости..."
Отправлено vlpoliakov , 08-Май-20 10:09 
как это на линукс?!!
"Microsoft назначил премию до $100000 за выявление уязвимости..."
Отправлено Аноним , 08-Май-20 17:48 
> Azure Sphere, построенной на базе ядра Linux

я не понял, они эту шляпу ещё продают? А GPL вот это всё?

"Microsoft назначил премию до $100000 за выявление уязвимости..."
Отправлено Аноним , 08-Мрт-21 12:09 
дыры стоят дороже чем они предлагают