聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

上周,微软宣布在 Windows Insider Preview (WIP) 漏洞奖励计划中新增了基于场景的奖励类别,最高奖金为10万美元。

作为 WIP 计划的一部分,微软邀请符合条件的研究人员从 WindowsInsider Preview Dev Channel 中查找漏洞,奖金金额从500美元 (DoS) 到5000美元 (RCE) 不等。

不过,现在研究人员可以基于五种攻击场景赢得2万美元到10万美元不等的奖金。如果研究人员能够展示在远程攻击场景中,未认证攻击者能够在无需用户交互的情况下实现非沙箱任意代码执行后果,则可获得最高奖金。

如果研究人员能够展示远程攻击者在无需用户交互或用户交互很少(比如说服目标访问恶意网站)的情况下,获得对用户个人数据(如文件、照片或邮件)的访问权限,则可获得5万美元的奖金。

如果攻击者能够展示在远程攻击场景下,无需用户交互即可导致数据破坏或持久的 DoS 条件,则可获得3万美元的奖金。

至于本地攻击向量,如果研究人员能够展示攻击者在无需用户交互或者用户交互很少的情况下展示沙箱逃逸的攻击场景,以及在无需用户访问的情况下从沙箱进程访问用户个人信息的攻击场景,则可获得最高2万美元的奖金。

微软还表示做出了一些改进措施,使漏洞评估和奖金审计的速度更快。

MRSC 的高级项目经理 Jarek Stanley 在博客文章中解释称,“为了更快地对 WIP 奖励计划漏洞报告的分类和审计并最终更快地发放奖金,我们要求所有的 Windows 漏洞报告说明所提交漏洞是否可以在 WIP Dev Channel 上重现并在报告中包含构建和修订字符串。为进一步加快漏洞报告的审计,我们建议通过 MSRCResearcher Portal 向微软提交漏洞。我们已经改进了门户的用户体验,简化用于分类、评估和发放赏金的数据沟通过程。如果你认为自己找到的漏洞符合基于攻击场景的漏洞奖励,则可通过 MSRCResearcher Portal 的新字段在报告中指出该场景。”

推荐阅读

微软推出 Azure Sphere 漏洞奖励计划,最高奖金10万美元

微软推出 Xbox 漏洞奖励计划,最高奖励2万美元

原文链接

https://www.securityweek.com/microsoft-adds-scenario-based-rewards-windows-insider-preview-bounty-program

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ,加油鸭~

微软WIP漏洞奖励计划新增基于攻击场景的奖励类别,最高$10万相关推荐

  1. 微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,微软宣布将企业本地版 Exchange.SharePoint 和 Skype 纳入应用程序和本地服务器漏洞奖励计划. 如研究人员能从这些产 ...

  2. 微软推出 Power Platform 漏洞奖励计划

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,微软宣布将开始接收关于 Power Platform 的漏洞报告. 微软指出,研究人员如能发现并报告位于 Power Platform 中 ...

  3. 火眼公司发布公开漏洞奖励计划

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 经过几个月的非公开漏洞奖励计划运营后,火眼公司宣布在 Bugcrowd 平台上开放其漏洞奖励计划. 火眼公司表示,Bugcrowd 平 ...

  4. 微软将 Teams 移动应用纳入漏洞奖励计划,最高奖金3万美元

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本周一,微软称已将 Teams 移动应用(安卓版和 iOS 版)纳入漏洞奖励计划. 3月份,微软将 Teams 商业通信平台的桌面客户端纳 ...

  5. 微软推出 Xbox 漏洞奖励计划,最高奖励2万美元

    聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软发布了 Xbox 游戏平台官方漏洞奖励计划. 微软表示,如果研究人员能从 Xbox Live网络和服务中找到漏洞,则奖励500美元到 ...

  6. 欧盟委员会支持5个开源项目漏洞奖励计划,奖金池20万欧元

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 欧盟委员会发布新闻指出,如研究员能在欧盟广泛使用的开源项目 LibreOffice.LEOS.Mastodon.Odoo 和 CryptPad ...

  7. 谷歌发布 Linux 内核提权漏洞奖励计划,综合奖金最高超30万美元

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌在博客中表示推出Linux 内核漏洞奖励计划,为其三个月(截止到当地时间2022年1月31日).如研究员能在实验环境中通过已修复漏洞实现提权 ...

  8. 谷歌漏洞披露规则增加30天补丁缓冲期;Reddit 公开漏洞奖励计划

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码安全卫士 本周,Reddit 宣布在 HackerOne 平台推出公开漏洞奖励计划,最高赏金为1万美元.谷歌 Project Zero 更改漏洞 ...

  9. 微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 使用开源代码库重构 Edge 浏览器后,微软宣布推出专注于 Chromium 的类似于 Project Zero 风格的安全研究项目. ...

最新文章

  1. 2020-10-30(smali复杂类解析)
  2. 2010年11月23日学习内容总结
  3. IDEA切换git分支
  4. Some Essential JavaScript Questions And Answers(3)
  5. ENode 2.8 最新架构图简介
  6. 光电转换模块_光模块:PIN光电二极管和APD光电二极管
  7. 初识推荐算法---算法背景、算法概念介绍、推荐信息选取、常用推荐算法简介
  8. 57、Design Support Library 介绍及环境搭建
  9. AndroidStudio_安卓原生开发_蓝牙扫描设备_另一种方法---Android原生开发工作笔记145
  10. 【图像去噪】基于matlab GUI均值+中值滤波图像去噪【含Matlab源码 372期】
  11. 第二届跨校大学生双创训练营任务方案开源1——任务介绍
  12. 战旗助手服务器代码,炉石盒子PC端人工智能战棋助手启用!
  13. 安装GitExtentions KDiff3已配置为合并工具,kdiff3的路径未配置
  14. 函数9:生成器和 yield 语句
  15. 基于XQ6657Z35-EVM开发平台上TI TMS320C6657 TLV320AIC3206音频设计
  16. Mac brew更新国内源或重置官方源
  17. Fiddler 和 Wireshark抓包教程合集
  18. 当一个SQL语句同时出现了where,group by,having,order by的时候,执行顺序和编写顺序...
  19. PMP-商业论证中的财务测量指标-动态投资回收期、净现值、内部收益率、效益成本率计算
  20. java servlet 教程_Java Servlet完全教程

热门文章

  1. 不用ajax调用搞后台小技巧
  2. 让cp显示进度的脚本
  3. 创建自定义主机头的网站集
  4. 力扣算法题—095不同的二叉搜索树【二叉树】
  5. TCP/IP协议详解内容总结(怒喷一口老血)
  6. svn上传时显示database is locked
  7. 即将上线的Kafka 集群(用CM部署的)无法使用“--bootstrap-server”进行消费,怎么破?...
  8. 基于vue(element ui) + ssm + shiro 的权限框架
  9. 条件触发和边缘触发 及 epoll 的长处
  10. Android开发网