Microsoft nagrađuje svoju prvu nagradu od 100,000 dolara za novu sigurnosnu ranjivost

Microsoft je najavio nove sigurnosne nagrade prije nekoliko mjeseci i sada je isplatio preko 128,000 dolara raznim sigurnosnim stručnjacima diljem svijeta. Microsoft je jučer objavio svoju prvu nagradu od 100,000 dolara za Jamesa Forshawa za pronalazak nove klase tehnika napada na Microsoftove proizvode.

Pročitajte više o tome u nastavku.

Čestitamo Jamesu Forshawu što je osmislio novu tehniku ​​iskorištavanja za našu prvu nagradu od 100,000 dolara. Istraživač sigurnosnih ranjivosti sa Sigurnost informacija u kontekstu, James je već bio vruć s greškama na razini dizajna koje je pronašao tijekom IE11 Preview Bug Bounty, i oduševljeni smo što mu možemo dati još više novca jer nam pomaže da poboljšamo našu sigurnost na cijeloj platformi.

Igrom slučaja, jedan od naših briljantnih inženjera u Microsoftu, Thomas Garnier, također je pronašao varijantu ove klase tehnike napada. Microsoftovi inženjeri poput Thomasa stalno procjenjuju načine poboljšanja sigurnosti, ali Jamesov podnesak bio je tako visoke kvalitete i navodio je neke druge varijante tako da smo mu htjeli dodijeliti punu nagradu od 100,000 dolara.

Iako ne možemo ulaziti u detalje ove nove tehnike zaobilaženja ublažavanja dok je ne riješimo, uzbuđeni smo što ćemo moći bolje zaštititi kupce stvaranjem novih obrana za buduće verzije naših proizvoda jer smo naučili o ovoj tehnici i njezinim varijante.

Razlog zbog kojeg plaćamo mnogo više za novu tehniku ​​napada u odnosu na pojedinačnu pogrešku je taj što nam učenje o novim tehnikama zaobilaženja ublažavanja pomaže razviti obranu protiv cijelih klasa napada. Ovo nam znanje pomaže da pojedinačne ranjivosti učinimo manje korisnima kada ih napadači pokušaju iskoristiti protiv kupaca. Kada ojačamo mjere ublažavanja na cijeloj platformi, otežavamo iskorištavanje grešaka u svim softverima koji rade na našoj platformi, a ne samo u Microsoftovim aplikacijama.

Izvor: microsoft