【国际资讯】微软延长Office漏洞奖励计划

阅读量114262

|

发布时间 : 2017-09-19 13:59:44

x
译文声明

本文是翻译文章,文章来源:securityweek.com

原文地址:http://www.securityweek.com/microsoft-extends-office-bounty-program

译文仅供参考,具体内容表达以及含义原文为准。

http://p0.qhimg.com/t01d4280f40b2914a2e.jpg

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

微软延期漏洞奖励计划

微软已宣布延期Office漏洞奖励计划,即该计划将运行到2017年12月31日。

这个漏洞奖励计划发布于2017年3月中旬,最初计划运行至2017年6月15日,根据所发现漏洞的严重程度和类型,奖励金额介于6000美元至1.5万美元不等。该计划针对的是Windows系统的Office Inside Builds。

微软表示研究人员可在2017年12月31日前提交漏洞报告,而这次延期对于在这个临时期间提交的报告都具有追溯力。微软正在寻找Office Insider Builds中的问题,它能让用户提早访问Office新功能和安全创新。微软安全响应中心指出这计划能让研究人员在功能大规模发布之前识别出漏洞问题。


拿奖条件

参与的研究人员可获得最多1.5万美元的奖励,如果发现的漏洞是通过Office Protected View沙箱逃逸实施的权限提升,绕过安全策略拦截Word、Excel和PPT中的宏执行,和绕过预定义扩展的Outlook自动附件拦截策略的代码执行。

只有关于上述漏洞类型的高质量漏洞报告才会赢得最高奖励。低质量的报告所获奖励不会超过9000美元。必须提交PoC以证实报告的合法性,但不需要提交exp。微软在此页面解释说。

合法提交应该“在一个完全修复的Windows桌面上的当前Office Insider build中找到原始且未经报告的漏洞。”如所提交漏洞能够在之前的build上重现但在当前版本上无法办到则视为不合法。

微软化指出,第一个提交的外部合法报告如果是关于内部已知晓并正在积极开发过程中的漏洞,那么最多可获得1500美元的奖励。

研究人员应向secure@microsoft.com提交漏洞报告。

本文翻译自securityweek.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66