微軟為新的安全漏洞授予首個 100,000 美元獎金

微軟幾個月前宣布了新的安全賞金計劃，現在它已經向世界各地的各種安全專家支付了超過 128,000 美元。 昨天，微軟宣布首次懸賞 100,000 美元，懸賞 James Forshaw 發現針對微軟產品的新型攻擊技術。

在下面閱讀更多內容。

恭喜 James Forshaw 提出了一種新的漏洞利用技術來獲得我們的第一個 100,000 美元的賞金。 安全漏洞研究員 上下文信息安全, James 已經因為他在 IE11預覽Bug Bounty，我們很高興給他更多的錢來幫助我們飛躍提高平台範圍的安全性。

巧合的是，我們在 Microsoft 的一位傑出工程師 Thomas Garnier 也發現了此類攻擊技術的一種變體。 像 Thomas 這樣的 Microsoft 工程師一直在評估提高安全性的方法，但 James 的提交質量如此之高，並概述了其他一些變體，因此我們想獎勵他 100,000 美元的全部獎金。

雖然在解決此問題之前我們無法詳細介紹這種新的緩解繞過技術，但我們很高興能夠通過為我們的產品的未來版本創建新的防禦措施來更好地保護客戶，因為我們了解了這種技術及其變體。

與單個漏洞相比，我們為新的攻擊技術支付更多費用的原因是，學習新的緩解繞過技術有助於我們開發針對所有攻擊類別的防禦。 當攻擊者試圖對客戶使用這些漏洞時，這些知識有助於我們降低單個漏洞的用處。 當我們加強平台範圍的緩解措施時，我們會更難利用在我們平台上運行的所有軟件中的錯誤，而不僅僅是 Microsoft 應用程序。

資源： Microsoft微軟