编辑:秩名2023-07-17 23:30:02
微软宣布了一项新的漏洞奖励计划。对于信息安全研究人员发现的Windows 8.1或IE 11的漏洞,每个漏洞微软有可能给予最高15万美元的奖励。
去年,微软曾在Bluehat大赛中推出了漏洞奖励措施。不过,Bluehat大赛并非关注寻找漏洞,而是寻找最有价值、最具创新性的解决方式。去年夏季,在拉斯维加斯的Black Hat信息安全大会上,微软发放了20万美元的高额奖金。
在最新的奖励计划中,微软的奖励分为3种。如果研究人员找到针对Windows 8.1保护机制的新漏洞,那么可以获得最高10万美元的“减轻绕开奖金”。而如果研究人员能针对已确认的攻击技术提供有效的防御措施,那么还可以获得5万美元额外的“Bluehat防御奖金”。因此针对单个漏洞的奖金总额最高达到15万美元。
此外,微软还提供了“IE11浏览器预览版漏洞奖金”。对于研究人员发现的Windows 8.1中IE11的关键漏洞,微软将支付每个漏洞1.1万美元的奖金。
微软新的漏洞奖励计划将于6月26日开始。届时微软也将发布带IE11的Windows 8.1预览版。“减轻绕开奖金”和“Bluehat防御奖金”将长期提供,而“IE11预览版漏洞奖金”将只持续30天。
微软高级安全策略师凯蒂·莫苏里斯(Katie Moussoris)在博客中宣布了这一漏洞奖励计划的启动。他表示,微软此前已进行了大量工作,解决相关软件中的漏洞。目前微软将与信息安全研究人员甚至黑客合作,在漏洞带来恶意攻击事件之前找到并解决这些漏洞。
Veracode联合创始人及首席技术官克里斯·维索佩尔(Chris Vysopal)表示,漏洞奖励计划的最大好处在于鼓励信息安全研究社区与微软合作,而不是对抗。此前,许多信息安全研究人员认为,他们完成了本应由软件公司完成了大量劳动,但却没有得到任何报酬。而类似微软此次开展的漏洞奖励计划将带来必要的激励,促使信息安全研究人员在找到漏洞后首先上报,并在漏洞解决前对其保密。
业内人士认为,这一漏洞奖励计划将有助于改进微软的所有产品。近年来,微软采取了大量工作,以加强漏洞减轻技术,不过仍有很大的提升空间。
