Η Microsoft ανακοινώνει το Windows Bug Bounty Program και την επέκταση του Hyper-V Bounty Program

[nnn]

Η ομάδα Microsoft Security Response Center (MSRC) ανακοίνωσε σήμερα ότι θα δρομολογήσει ένα νέο στοχευμένο Windows Bug Bounty Program (Windows Bounty Program), στην προσπάθεια εντοπισμού ευπαθειών πριν φτάσουν στη μαύρη αγορά. Η προσθήκη ενός προγράμματος Bug Bug των Windows έρχεται ως μέρος μιας συνολικής προσπάθειας της Microsoft για να βελτιώσει την ανταπόκριση και την άμυνα έναντι των τρωτών σημείων ασφαλείας.

Αυτό το νέο πρόγραμμα Windows Bug Bounty θα βοηθήσει πολύ στον εντοπισμό και την επιδιόρθωση των τρωτών σημείων στα προϊόντα της Microsoft, με έμφαση στην απομακρυσμένη εκτέλεση κώδικα, την κλιμάκωση προνομίων και τα εγγενή ελαττώματα στο σχεδιασμό.

Ενώ οι χρήστες θα είναι περιορισμένοι στην δυνατότητα τους να υποβάλλουν ενημερώσεις κώδικα για τα προβλήματα που εντοπίστηκαν στο πρόγραμμα Bounty των Windows, καθώς τα Windows είναι κλειστός κώδικας, οι αναφορές σφαλμάτων θα βοηθήσουν σημαντικά την Microsoft στα προϊόντα της, καθώς θα μπορέσει να χρησιμοποιήσει τις αναφορές για να ερευνήσει και να διορθώσει τα προβλήματα για τα οποία ενημερωθεί, μετά τον εντοπισμό τους.

Η Microsoft αναδιαμορφώνει επίσης το πρόγραμμα Hyper-V Bounty για να αυξήσει σημαντικά τις μέγιστες πληρωμές του , προκειμένου να ανταγωνιστεί καλύτερα τις τιμές που εντοπίστηκαν για αυτές τις ευπάθειες στη μαύρη αγορά και να αποζημιώσει καταλληλότερα τους προγραμματιστές για την εύρεση ευπαθειών . Τα νέα προγράμματα θα έχουν μέγιστη αμοιβή τα 250.000 δολαρίων για Hyper-V exploit με απομακρυσμένη εκτέλεση κώδικα και μέγιστο ποσό 200.000 δολαρίων για κενά των Windows 10 που είναι “Novel & fundamental advancement[s] in exploitation technology that universally bypasses current mitigations”.

Η Microsoft προτίθεται επίσης να πληρώσει το 10% της αντίστοιχης αμοιβής στο πρώτο άτομο που θα αναφέρει τυχόν σφάλματα που εντοπίζονται εσωτερικά αλλά δεν έχουν ακόμη δημοσιευθεί. Παρόλο που το ποσό είναι μικρότερο, ακόμα και η μερική πληρωμή για την αναφορά ευπάθειας μετά από την ανακάλυψη της από την Microsoft θα ενθαρρύνει τις αναφορές τρωτών σημείων.

Πηγή : XDA-Developers

machine translated by Google Translate

[turboirc]

If you wish to report a security bug for Microsoft’s bug bounty program, you can email them at secure@microsoft.com
If you have any questions about the program itself, the latest information about Microsoft’s bug bounty programs can be found at https://aka.ms/BugBounty.

Υποθέτω ότι το μικρό ποσό που δίνει οφείλεται στο γεγονός ότι δεν περιμένει να βρεθούν πολύ σημαντικά προβλήματα.

[tsigarid]

Μικρό ποσό; Πόσο ήθελες να δίνει δηλαδή; Αρκεί να δίνει πάνω από τον "ανταγωνισμό" της μαύρης αγοράς.

[turboirc]

Είναι πολύ λίγα τα λεφτά για σοβαρά bug ασφαλείας στα Windows αν βρεθούν. Ένας που θα βρει π.χ. remote exploit θα το πουλήσει πολύ ακριβότερα στη μαύρη αγορά ειδικά τώρα με τα ransom.

Αν και δε θυμάμαι τελευταία να βρέθηκε τίποτα σημαντικό.