Microsoft uddeler sin første dusør på $100,000 for en ny sikkerhedssårbarhed

Microsoft annoncerede de nye sikkerheds-bounty-programmer for nogle måneder siden, og de har nu udbetalt over $128,000 til forskellige sikkerhedseksperter rundt om i verden. I går annoncerede Microsoft deres første 100,000 dollars dusør nogensinde til James Forshaw for at finde en ny klasse af angrebsteknik på Microsofts produkter.

Læs mere om det nedenfor.

Tillykke til James Forshaw for at komme med en ny udnyttelsesteknik for at få vores første 100,000 dollars dusør nogensinde. En sikkerhedssårbarhedsforsker med Kontekstinformationssikkerhed, James kom allerede i gang med fejl på designniveau, han fandt under IE11 Preview Bug Bounty, og vi er glade for at give ham endnu flere penge for at hjælpe os med at forbedre vores platform-dækkende sikkerhed med stormskridt.

Tilfældigvis havde en af ​​vores geniale ingeniører hos Microsoft, Thomas Garnier, også fundet en variant af denne klasse af angrebsteknik. Microsoft-ingeniører som Thomas vurderer konstant måder at forbedre sikkerheden på, men James' bidrag var af så høj kvalitet og skitserede nogle andre varianter, så vi ønskede at tildele ham den fulde dusør på $100,000.

Selvom vi ikke kan gå ind i detaljerne i denne nye afbødende bypass-teknik, før vi har behandlet den, er vi glade for, at vi vil være bedre i stand til at beskytte kunderne ved at skabe nye forsvar for fremtidige versioner af vores produkter, fordi vi lærte om denne teknik og dens varianter.

Grunden til, at vi betaler så meget mere for en ny angrebsteknik i forhold til en individuel fejl, er, at læring om nye afbødningsbypass-teknikker hjælper os med at udvikle forsvar mod hele angrebsklasser. Denne viden hjælper os med at gøre individuelle sårbarheder mindre nyttige, når angribere forsøger at bruge dem mod kunder. Når vi styrker de platformsdækkende begrænsninger, gør vi det sværere at udnytte fejl i al software, der kører på vores platform, ikke kun Microsoft-applikationer.

Kilde: microsoft