2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
微軟安全響應(yīng)中心團(tuán)隊(duì)(MSRC)今天宣布,他們將啟動(dòng)一個(gè)新的針對(duì)性Windows Bug Bounty程序(恰當(dāng)?shù)胤Q為“ Windows Bounty Program”),希望在漏洞到達(dá)黑市之前就將其捕獲。Windows Bug Bounty程序的添加是Microsoft全面努力的一部分,以提高其響應(yīng)速度和防御安全漏洞的能力。
這個(gè)新的Windows Bug Bounty程序?qū)⒃趲椭R(shí)別和修補(bǔ)Microsoft產(chǎn)品中的漏洞方面大有幫助,重點(diǎn)在于遠(yuǎn)程代碼執(zhí)行,權(quán)限提升和固有的設(shè)計(jì)缺陷。
由于Windows是封閉源代碼,因此用戶針對(duì)Windows Bug賞金計(jì)劃中發(fā)現(xiàn)的問(wèn)題提交修補(bǔ)程序的能力受到限制(可能會(huì)帶來(lái)固有的安全性問(wèn)題),但是僅提供bug報(bào)告本身將大大改善Microsoft的安全性,從而使Microsoft受益 。他們的產(chǎn)品,因?yàn)橐坏┩ㄖ獑?wèn)題存在,Microsoft便可以利用這些報(bào)告自行調(diào)查和修補(bǔ)問(wèn)題。
微軟還正在重塑他們的Hyper-V賞金計(jì)劃,以大幅提高其最高賠付額,以便更好地與黑市上這些漏洞的價(jià)格進(jìn)行競(jìng)爭(zhēng),并更適當(dāng)?shù)匮a(bǔ)償開發(fā)人員發(fā)現(xiàn)問(wèn)題的費(fèi)用。新程序?qū)榫哂羞h(yuǎn)程代碼執(zhí)行功能的Hyper-V漏洞利用程序支付最高25萬(wàn)美元的費(fèi)用, 對(duì)于Windows 10漏洞利用程序,則將獲得最高200,000美元的費(fèi)用,這是“漏洞利用技術(shù)的新穎和基本進(jìn)步,普遍繞開了當(dāng)前的緩解措施”。
除了讓第一人發(fā)現(xiàn)這些錯(cuò)誤之外,微軟還向第一人支付相應(yīng)獎(jiǎng)勵(lì)的10%,以報(bào)告在內(nèi)部發(fā)現(xiàn)但尚未發(fā)布的任何錯(cuò)誤。雖然與全額付款并不完全相同,但在微軟已經(jīng)發(fā)現(xiàn)漏洞后報(bào)告該漏洞會(huì)得到部分付款,這將有助于鼓勵(lì)人們報(bào)告漏洞,因?yàn)樗鼘⒕徑馔ǔ1桓嬷撳e(cuò)誤的一些失望。您已報(bào)告已被發(fā)現(xiàn)。
通過(guò)擴(kuò)大漏洞賞金范圍的這一舉動(dòng),微軟加入了一大批在過(guò)去一年中對(duì)其漏洞賞金系統(tǒng)進(jìn)行了改造的公司,包括Google,蘋果,高通,空軍等。
擴(kuò)大錯(cuò)誤賞金計(jì)劃的公司名單之長(zhǎng)而且不斷增長(zhǎng)并非偶然。為舉報(bào)錯(cuò)誤的人提供獎(jiǎng)勵(lì),在鼓勵(lì)人們向公司舉報(bào)錯(cuò)誤方面大有幫助,以便可以將其修正,而不是試圖在黑市上出售。它為白帽黑客提供了一條合法的途徑,使他們可以通過(guò)分析您的軟件來(lái)賺錢,幫助他們吸引到您的生態(tài)系統(tǒng)并維護(hù)他們的興趣。雖然很難與某些特殊漏洞可以在黑市上競(jìng)走的價(jià)格競(jìng)爭(zhēng),但許多黑客寧愿處理合法的漏洞報(bào)告方法,而您可以找到并修復(fù)的每個(gè)漏洞都有助于防止這些漏洞被用于可能危害用戶的不良做法。
盡管漏洞賞金計(jì)劃已經(jīng)存在了很長(zhǎng)時(shí)間并且一直證明了它們的價(jià)值,但是由于最近發(fā)現(xiàn)了某些廣泛的安全漏洞,包括泄露的情報(bào)局的保險(xiǎn)柜,最近人們一直在重新關(guān)注它們。7,其中包含針對(duì)Microsoft Edge,Google Chrome,Mozilla Firefox,Opera,iOS,Android,macOS,Linux和Microsoft Windows以及其他目標(biāo)的安全漏洞。特別是微軟去年受到安全漏洞的嚴(yán)重影響,當(dāng)時(shí)有消息顯示,2012年對(duì)LinkedIn的黑客入侵(微軟去年購(gòu)買了該黑客)比最初估計(jì)的范圍要廣泛得多。
如果您希望報(bào)告Microsoft錯(cuò)誤賞金計(jì)劃的安全錯(cuò)誤,可以按照其 協(xié)調(diào)的漏洞披露 (CVD)策略,通過(guò)secure@microsoft.com 向他們發(fā)送電子郵件 。如果您對(duì)程序本身有任何疑問(wèn),可以在https://aka.ms/BugBounty上找到有關(guān)Microsoft錯(cuò)誤賞金計(jì)劃的最新信息 。Windows賞金計(jì)劃有望無(wú)限期地繼續(xù)下去,盡管隨著時(shí)間的推移,它可能會(huì)進(jìn)行調(diào)整,以適應(yīng)不斷變化的安全形勢(shì)。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。