マイクロソフトは、新しいセキュリティ脆弱性に対して最初の $100,000 の報奨金を授与します

マイクロソフトは数か月前に新しいセキュリティ報奨金プログラムを発表し、今では世界中のさまざまなセキュリティ専門家に128,000ドル以上を支払いました。 昨日、マイクロソフトは、マイクロソフトの製品に対する新しいクラスの攻撃手法を見つけたジェームズ・フォーショーに、史上初の100,000万ドルの報奨金を発表しました。

詳細については、以下をご覧ください。

ジェームズ・フォーショーが、初めての$100,000の賞金を獲得するための新しい搾取技術を考案してくれたことを祝福します。 のセキュリティ脆弱性研究者 コンテキスト情報のセキュリティ、ジェームズは、彼が中に見つけたデザインレベルのバグですでに熱くなっていました IE11プレビューバグバウンティ、そして私たちは、プラットフォーム全体のセキュリティを飛躍的に向上させるために、彼にさらに多くのお金を与えることに興奮しています。

偶然にも、マイクロソフトの優秀なエンジニアの100,000人であるThomas Garnierも、このクラスの攻撃手法の変形を発見しました。 ThomasのようなMicrosoftのエンジニアは、セキュリティを向上させる方法を常に評価していますが、Jamesの提出物は非常に高品質であり、他のいくつかのバリエーションの概要を示したため、彼にXNUMX万ドルの報奨金を全額授与したいと考えました。

この新しい緩和バイパス手法の詳細については、対処するまで詳しく説明しませんが、この手法とバリアント。

個々のバグよりも新しい攻撃手法に多額の費用をかける理由は、新しい軽減バイパス手法について学ぶことで、攻撃のクラス全体に対する防御を開発するのに役立つからです。 この知識は、攻撃者が顧客に対して脆弱性を使用しようとしたときに、個々の脆弱性の有用性を低下させるのに役立ちます。 プラットフォーム全体の緩和策を強化すると、Microsoftアプリケーションだけでなく、プラットフォームで実行されるすべてのソフトウェアのバグを悪用することが難しくなります。

情報源： Microsoft