時間:2017-08-01 來源:互聯網 瀏覽量:
微軟發布了一個新的bug獎勵計劃,將會看到任何人在Windows中找到安全漏洞,有資格支付高達15,000美元。
自2013年以來,該公司一直在運行漏洞獎勵計劃,其中安全研究人員得到賞金回報,以發現和報告可利用的缺陷。當時,微軟為Internet Explorer11中的錯誤支付高達11,000美元。在此之後的幾年裏,微軟的豐富獎勵計劃已經擴大,具體的方案為那些在Hyper-V虛擬機管理程序中找到漏洞的項目提供了獎勵,Windows的廣泛的利用緩解係統如DEP和ASLR,以及Edge瀏覽器。
許多這些賞金計劃是有時間限製的,在beta /開發期間涵蓋軟件,但一旦釋放,結束。這種結構是在將漏洞分發給常規最終用戶之前,試圖吸引更多的審查。上個月,Edge獎勵計劃已經成為一項持續不斷的計劃,不再受任何特定的時間限製。
今天宣布的賞金計劃並不取代這些重點領域。Edge,Windows緩解技術,Hyper-V和Windows Defender App Guard都有自己專注的賞金方案。相反,它作為Windows 的其餘部分的全部。研究人員發現並報告Windows中具有高質量概念證明的遠程代碼執行缺陷,可以發現自己有資格獲得15,000美元的支付。提高特權可以產生10,000美元,甚至信息披露,拒絕服務和欺騙也可以產生高達$ 5,000的獎勵。
有針對性的方案可以更有利可圖。Hyper-V的一個完整漏洞,使惡意或攻擊者控製的虛擬機能夠使管理程序本身執行任意代碼,將產生高達25萬美元的支出。可以繞過全麵的利用減輕技術的漏洞可以賺取高達10萬美元。
