A Microsoft mostantól legfeljebb 30,000 XNUMX dollárt fizet a hibavadászoknak korlátozott ideig
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Az elmúlt hetekben a Google kétszer is zavarba hozta a Microsoftot azzal, hogy információkat adott ki a Windows 10 biztonsági réseiről, mielőtt a Microsoft készen állt volna a javításra.
A Microsoft most arra válaszolt, hogy megduplázza a hibajavítást korlátozott ideig, ami azt jelenti, hogy a biztonsági kutatók akár 30,000 1 dollárt is kereshetnek, ha komoly hibát találnak bizonyos Microsoft-szolgáltatásokban 31. március 2017. és május XNUMX. között.
Ha a kutatók által talált hibákat a Microsoft fizeti, az nagyobb irányítást biztosítana a Microsoftnak a nyilvánosságra hozatali folyamat felett, és lehetővé tenné számukra, hogy maguk határozzák meg a javításokat, ahelyett, hogy a legtöbb független kutató a nyilvánosságra hozatal előtt rákényszerítené őket a három hónapos ütemtervre.
A Microsoft a következő tartományokon kínál jutalmakat a szolgáltatásokért:
- portal.office.com
- outlook.office365.com
- outlook.office.com
- *.outlook.com
- outlook.com
A teljes lista 18 domaint és további 37 jogosult végpontot tartalmaz, amelyekre a szabványos hibajavítás vonatkozik.
A Microsoft azt szeretné, ha a kutatók kilenc különböző típusú hibát keresnének, köztük:
- Kereszthelyzeti parancsfájlok (XSS)
- Site-request Forgery (CSRF)
- Jogosulatlan, bérlőközi adatok manipulálása vagy hozzáférés (több bérlős szolgáltatások esetén)
- Nem biztonságos közvetlen objektumhivatkozások
- Injekciós sebezhetőségek
- Hitelesítési biztonsági rések
- Szerver oldali kódvégrehajtás
- Privilege eszkaláció
- Jelentős biztonsági hibás konfiguráció (ha nem a felhasználó okozza)
Bár a 30,000 200,000 dollár soknak tűnhet, a biztonsági kutatók sokkal nagyobb jutalmat kaphatnak, ha eladják leleteiket a Dark Neten – írja az Enterprise Times, megjegyezve, hogy egy nulladik napi sebezhetőség akár XNUMX XNUMX dollárt is elérhet, és a kutatók még többet kereshetnek, ha kifejlesztik. a hibát, és eladja azt egy Malware as a Service platform részeként. Ez természetesen erősen illegális lenne.
Azok a kutatók, akik nem állnak a sötét oldalon, többet olvashatnak a jutalomrendszerről itt a Techneten.