微软推出了一项针对 Microsoft Defender 安全平台的新漏洞赏金计划,奖励金额在 500 至 20,000 美元之间。
虽然可能会获得更高的奖励,但 Microsoft 保留根据漏洞严重性、影响和提交质量自行决定最终奖励金额的权利。
最高奖励适用于严重严重的远程代码执行漏洞的高质量报告。
目前,Microsoft Defender 赏金计划的范围有限,将仅关注Microsoft Defender for Endpoint API(应用程序编程接口)。不过,预计未来将扩展到包括其他 Defender 产品。
MSRC 高级项目经理 Madeline Eckert表示: “Microsoft Defender 赏金计划邀请全球研究人员识别 Defender 产品和服务中的漏洞,并与我们的团队分享。 ”
“微软的错误赏金计划是我们投资与全球安全研究社区合作以帮助保护微软客户安全的众多方式之一。”
| 漏洞类型 | 报告质量 | 严重性 | |||
| 批判的 | 重要的 | 缓和 | 低的 | ||
| 远程代码执行 | 高 中 低 |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| 特权提升 | 高 中 低 |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| 信息披露 | 高 中 低 |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| 欺骗 | 高 中 低 |
不适用 | $3,000 $1,200 $500 |
$0 | $0 |
| 篡改 | 高 中 低 |
不适用 | $3,000 $1,200 $500 |
$0 | $0 |
| 拒绝服务 | 前高后低 | 超出范围 |
范围内安全漏洞的完整列表包括:
- 跨站脚本(XSS)
- 跨站请求伪造(CSRF)
- 服务器端请求伪造 (SSRF)
- 跨租户数据篡改或访问
- 不安全的直接对象引用
- 不安全的反序列化
- 注入漏洞
- 服务器端代码执行
- 严重的安全配置错误(不是由用户引起的)
- 使用具有已知漏洞的组件(需要对可利用性进行完整的概念证明 (PoC)。例如,仅识别过时的库没有资格获得奖励)。
根据微软的指导方针,如果多个安全研究人员就同一问题提交了多个错误报告,则首次提交的内容将获得奖金。
此外,如果提交的内容符合多个赏金计划的资格,研究人员将从单个赏金计划中获得最高的单笔支付奖励。有关 Microsoft 赏金计划的更多详细信息,请参阅此常见问题解答页面。
今天,微软还透露,它向全球 1,147 名安全研究人员支付了 5890 万美元的奖励,这些研究人员报告了 22 个漏洞赏金计划中的 446 个合格漏洞。
一个月前,该公司宣布了一项新的人工智能赏金计划,重点关注人工智能驱动的 Bing 体验,奖励高达 15,000 美元。
去年,雷德蒙德将本地 Exchange、SharePoint 和 Skype for Business 添加到其错误赏金计划中,并提高了通过其 Microsoft 365 计划报告的高影响安全缺陷的最高奖励。
发表评论
您还未登录,请先登录。
登录