Windows

微軟更新 Windows 測試人員 Bug 獎金計劃, 獎金最高可達 10 萬美元

Windows 系統給人的印象幾乎都是漏洞很多。雖然每個月微軟都會在「週二修補程式日」修復不少的漏洞威脅還有各種 Bug,但是有更多的 Bug 是單靠微軟自己找不到的。因此微軟決定改善他們的 Windows 測試人員 Bug 獎金計劃來把 Windows 打造得更加安全。

微軟更新 Windows 測試人員 Bug 獎金計劃

這項 Windows 測試人員 Bug 獎金計劃是微軟在 2017 年推出的 Windows 獎金計劃的一部分。這個計劃不僅僅只針對 Windows 預覽版本中所有功能,還包括 Hyper-V、Mitigation bypass(紓解措施繞過技術)、Windows 應用程式防護以及 Edge 瀏覽器中的各種漏洞以及 Bug。

安全研究人員就是通過 Windows 預覽版來尋找各種潛在的漏洞並報告給微軟,從而可以獲得 500 至 15000 美元的獎金。現在微軟將會把這個獎金大幅度提高至 10 萬美元。

微軟高級項目經理 Jarek Stanley 在更新獎金計劃的部落格中表示:

今天,我們宣布將會對這個計劃進行更新來進一步激勵人們提供更多具有影響力的研究,其中包括新的、最高可達 10 萬美元的新方案獎勵。我們還更新這個計劃的整體程式,以實現與研究人員更無縫的接軌,以及更快地為符合要求的研究提供獎金獎勵。

獎金最高可達 10 萬美元

新的方案獎勵共分成 5 級,從最高的 10 萬至最低 2 萬美元不等。要拿到最高 10 萬美元,研究人員需要呈現一次非沙盒內無人為干擾且沒有授權的遠端代碼執行;如果可以示範在沒有或少量人為干擾且沒有授權的情況下獲取用戶數據的話就可以得到 5 萬美元的獎金; 而在沒有人為干擾一下破壞數據或者拒絕服務則可以得到 3 萬獎金。

以上都是可以透過遠端操作。而如果研究人員可以在本地做到沙盒逃逸,或在沒有授權的情況下存取從沙盒打開的用戶數據的話則可以得到 2 萬美元的獎金。至於發現其他一般的漏洞則可以獲得 500 至 5000 美元的獎金。