מיקרוסופט תשלם לך כסף עבור ציד פגיעויות ספציפיות עבור Microsoft Edge בתוכנית Windows Insider - מחשוב - 2019

Anonim

מיקרוסופט של ג'ייסון שירק מ MSRC צוות מדווח כי החברה הוסיפה עוד תוכנית השפע לסגל שלה עבור ציידים באגים. אפשרות זו מכוונת לפגיעויות אפשריות לביצוע קוד מרחוק בגירסת Microsoft Edge, אשר מוצגת בפני משתתפים בתוכנית Windows Insider. עבור הצרכנים, זה אומר נתח טוב של נקודות תורפה כבר כבר במעקב ו תוקנו לפני גרסה חדשה של הדפדפן הוא שוחרר ההמונים.

"השפע הזה ממשיך את השותפות שלנו עם קהילת המחקר הביטחוני בעבודה על מנת להבטיח את הפלטפורמות שלנו, בשלבי טרום השחרור של תהליך הפיתוח", כותב שירק. "תוכנית Windows Insider בנויה כדי לעזור לעצב את העתיד של Windows, ומייצגת את התכונות החדשות ביותר, כולל תכונות אבטחה חדשות והקלות".

המרוץ החדש של מיקרוסופט אדג 'החל ב -4 באוגוסט 2016, ויסתיים ב -15 במאי 2017. ציידים באג ישולמו יפה עבור המחקר שלהם, מרוויח בין $ 500 ל $ 15, 000. עם זאת, אם הם נתקלים פגיעות במוקדמות זה היה נמצא באופן פנימי על ידי מיקרוסופט, אז החברה תציע עד $ 1, 500 עבור האדם הראשון "חיצוני" אשר מגיש דוח.

בנוסף, כל הפגיעויות שנחשפו על ידי חוקרים חייבות להיות ניתנות לשחזור בגירסה העדכנית ביותר של Windows 10 בתוכנת Windows אינסיידר "טבעת איטית". עבור Uninitiated, תוכנית Windows Insider מחולקת ל "מהיר", "איטי" ו "שחרור תצוגה מקדימה "טבעות, עם הקבוצה הראשונה מקבל בונה כפי שהם הושלמו, הקבוצה השנייה מקבל קצת יותר מלוטש ויציב בונה בקצב איטי יותר, ואת הקבוצה השלישית נהנה תכונות חדשות עם מעט או ללא סיכון על המכשירים שלהם.

החדש Microsoft Edge Bounty מצטרף מספר תוכניות אחרות של מיקרוסופט מציעה כיום לחוקרים, כולל שירותים מקוונים באג Bounty, Nano שרת טכנית תצוגה מקדימה Bug Bounty, . Core Core ו ASP.NET Core RC2 באג Bounty, עיכוב עקיפת Bounty, ואת תוכנית הבאונטי למען הביטחון.

בעבר, היה Microsoft Edge Technical Preview Bug Bounty שהחל ב -22 באפריל 2015 והסתיים ב -22 ביוני 2015. לפי הרישום, מיקרוסופט שילמה בין $ 1, 500 ל- $ 15, 000 עבור תגליות של פגיעות של ביצוע קוד מרחוק, וכן מציאת פגיעות בריחה ארגז חול עם מצב מוגן מוגן. בין $ 1, 500 ל- $ 6, 000, שולמו על נקודות תורפה חמורות יותר בדפדפן או ב- EdgeHTML, ו- 500 $ בלבד שולמו עבור פגיעות של גילוי מידע ב- ASLR ב- Edge או EdgeHTML.

"תוכניות השפע החדשות שלנו מוסיפות עומק וגמישות מורחבות לתוכניות הקהילות הקיימות שלנו", קובע מיקרוסופט. "בעקבות אלה תוכניות שפע מספק דרך לרתום את האינטליגנציה הקולקטיבית ויכולות של חוקרי אבטחה כדי לסייע בהגנה נוספת על הלקוחות."

נכון לעכשיו, השפע החדש של Microsoft Edge אינו מופיע באתר התוכנות Microsoft Bounty. ארבעה מתוך הפרסומים המפורטים לעיל מתמשכים ואילו. Core Core ASP.NET Core RC2 באג Bungy מסתיים ב -7 בספטמבר 2016. אם אתה נופל תחת המטריה "האקר" ו "חוקר" ורוצים להרוויח קצת מזומנים, לקחת תראו מה מיקרוסופט מציעה. אתה תהיה לעזור לנו את כל הבנקאות כמה שטרות ירוקים יפה בתהליך.