Microsoft paiera désormais jusqu'à 30,000 XNUMX $ pour les chasseurs de primes de bogues pendant une durée limitée

Accueil » Microsoft

Icône de temps de lecture 2 minute. lis

Icône de calendrier Publié le

by Surur Davids 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Au cours des dernières semaines, Google a embarrassé Microsoft à deux reprises en publiant des informations sur les vulnérabilités de sécurité de Windows 10 avant que Microsoft ne soit prêt à les corriger.

Microsoft a maintenant répondu en doublant sa prime de bogue pour une période limitée, ce qui signifie que les chercheurs en sécurité peuvent gagner jusqu'à 30,000 1 $ s'ils trouvent un bogue grave dans certains services Microsoft du 31er mars au 2017 mai XNUMX.

La découverte de bogues par des chercheurs payés par Microsoft donnerait à Microsoft plus de contrôle sur le processus de divulgation et leur permettrait de hiérarchiser eux-mêmes les correctifs, plutôt que d'être contraints par le calendrier de 3 mois que la plupart des chercheurs indépendants utilisent avant la divulgation publique.

Microsoft offre des récompenses pour les services sur les domaines suivants :

  • portal.office.com
  • outlook.office365.com
  • Outlook.Office.com
  • * .outlook.com
  • outlook.com

La liste totale comprend 18 domaines et 37 autres terminaux éligibles couverts par la prime de bogue standard.

Microsoft souhaite que les chercheurs recherchent neuf types de bogues différents, notamment :

  • Cross Site Scripting (XSS)
  • Contrefaçon de requête intersite (CSRF)
  • Altération ou accès non autorisé aux données entre locataires (pour les services multilocataires)
  • Références d'objet directes non sécurisées
  • Vulnérabilités d'injection
  • Vulnérabilités d'authentification
  • Exécution de code côté serveur
  • Elévation de Privilèges
  • Mauvaise configuration de sécurité importante (lorsqu'elle n'est pas causée par l'utilisateur)

Alors que 30,000 200,000 $ peuvent sembler beaucoup, les chercheurs en sécurité peuvent être bien plus récompensés en vendant leur découverte sur le Dark Net, rapporte Enterprise Times, notant qu'une vulnérabilité Zero Day peut rapporter jusqu'à XNUMX XNUMX $ et que les chercheurs peuvent gagner encore plus s'ils développent le bogue et le vendre dans le cadre d'une plate-forme Malware as a Service. Ce serait bien sûr hautement illégal.

Les chercheurs qui ne sont pas du côté obscur peuvent en savoir plus sur le système de primes chez Technet ici.

En savoir plus sur les sujets : prime aux bogues, microsoft, sécurité, exploit de zéro jour

Surur Davids

Surur Davids bouclier

Expert en smartphones

Surur Davids est le fondateur de WMPoweruser qui deviendra plus tard MSPoweruser.com. C'est un expert en smartphones avec plus d'une décennie d'expérience.