Windows 作業系統給人的印象幾乎都是漏洞很多,雖然每個月微軟都會在「週二修補程式日」修復不少的漏洞威脅還有各種 Bug,但是有更多的 Bug 是單靠微軟自己所找不到的。因此微軟決定改善他們的 Windows 測試人員 Bug 獎金計劃來把 Windows 作業系統打造得更加安全。
微軟更新 Windows 測試人員 Bug 獎金計劃
這項 Windows 測試人員 Bug 獎金計劃是微軟在 2017 年推出的 Windows 獎金計劃的一部分。這個計劃不僅僅只針對 Windows 預覽版本中所有功能,還包括 Hyper-V、Mitigation bypass 紓解措施繞過技術、Windows 應用程式防護以及 Edge 瀏覽器中的各種漏洞以及 Bug。
通過這個計畫,安全研究人員可以在 Windows 預覽版來尋找各種可能的潛在漏洞並報告給微軟,從而能夠獲得 500 至 15000 美元不等的獎金,而現在微軟宣布將會把這個 Windows 測試人員 Bug 獎金計劃的獎金大幅度提高至 10 萬美元。
微軟高級項目經理 Jarek Stanley 在更新獎金計劃的部落格中表示:
今天,我們宣布將會對這個計劃進行更新來進一步激勵人們提供更多具有影響力的研究,其中包括新的、最高可達 10 萬美元的新方案獎勵。我們還更新這個計劃的整體程式,以實現與研究人員更無縫的接軌,以及更快地為符合要求的研究提供獎金獎勵。
新的方案獎勵共分成 5 級,從最高的 10 萬至最低 2 萬美元不等,想要要拿到最高的 10 萬美元,研究人員需要呈現一次非沙盒內無人為干擾且沒有授權的遠端代碼執行。
如果可以示範在沒有或少量人為干擾且沒有授權的情況下獲取使用者數據可以得到 5 萬美元的獎金,而在沒有人為干擾下破壞數據或拒絕服務則可以得到 3 萬美元獎金。
以上的情況都是指能夠透過遠端操作的情況,如果研究人員可以在本地做到沙盒逃逸,或者在沒有授權的情況下存取從沙盒打開的使用者數據的話則可以得到 2 萬美元的獎金,至於發現其他一般漏洞則可以獲得 500 至 5000 美元的獎金。