«Яндекс» объявил о запуске нового конкурса в рамках программы «Охота за ошибками». Эксперты в области информационной безопасности смогут получить денежное вознаграждение до 2,8 млн руб. за обнаружение критических уязвимостей в продуктах и сервисах российского IT-гиганта. Это в пять раз больше обычных премий, которые «Яндекс» выплачивает этичным хакерам.

Охотники за ошибками смогут получить повышенное вознаграждение за отчёты в двух категориях. Одна из них — IDOR (Insecure Direct Object Reference), или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации через ошибки в API.

Вторая категория — прочие технические недоработки и уязвимости, которые дают возможность получить доступ к закрытой информации, например, личным закладкам, персональным промокодам или черновикам статей.

Источник изображения: pixabay.com

Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и влияния на безопасность данных. Сумма премии может быть уменьшена, если эксплуатация дыры усложнена компенсирующими мерами.

В соответствии с правилами, исследователи могут использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Пытаться получить доступ к информации других пользователей нельзя. «Яндекс» отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Мероприятие проводится до 31 августа 2023 года.

Компания Intel, по сообщению ресурса Tom's Hardware, возобновила отгрузки процессоров Xeon Sapphire Rapids после устранения выявленной ошибки. Клиенты, которые ранее закупили проблемные чипы, могут получить обновление микрокода, в котором баг отсутствует.

Об обнаруженной ошибке стало известно в конце июня нынешнего года. Говорилось, что баг может провоцировать внезапную остановку работы системы. На тот момент способов решения проблемы известно не было. Чипы Sapphire Rapids доступны в двух конструктивных вариантах: XCC и MCC. В первом случае применяется сборка из четырёх кристаллов: число вычислительных ядер варьируется от 36 до 60. Вторая модификация имеет монолитную конструкцию с числом ядер до 32. И именно в MCC-изделиях обнаружилась недоработка. Intel заявила о приостановке поставок этих процессоров из соображений предосторожности, но не назвала конкретную дату возобновления отгрузок.

Изображение: Intel

Проблему удалось решить путём выпуска новой версии прошивки, так что компании не пришлось инициировать дорогостоящую программу отзыва и замены чипов. «Недавно мы сообщили о проблеме с подмножеством процессоров Intel Xeon со средним числом ядер (SPR-MCC), которая может прерывать работу системы при определённых условиях. Из соображений предосторожности мы временно приостановили поставки этих изделий. Теперь мы уверены, что новая микропрограмма решает проблему. Мы возобновили поставки всех версий SPR-MCC и работаем с клиентами над внедрением исправленной прошивки», — сказали в Intel.