微软更新Windows预览者BUG赏金计划,奖金最高可达10万美元
Windows系统给人的印象一往都是漏洞多多的。虽然每个月微软都会在“补丁星期二”修复不少潜在的漏洞以及各种BUG,但是有更多的BUG是单靠微软自己找不到的。因此微软决定改善他们的Windows预览者BUG赏金计划来把Windows打造得更加安全。
这项Windows预览者BUG赏金计划是微软在2017年推出的Windows赏金计划的一部分。这个计划不但针对Windows预览者版本中所有特性,还有Hyper-V、Mitigation bypass(缓解措施绕过技术)、Windows 应用程序防护以及Edge浏览器中的各种漏洞以及BUG。
而安全研究人员就是通过Windows预览版来寻找各种潜在的漏洞并且报告给微软,从而可以获得500至15000美元的奖金。而现在微软将会把这个奖金大幅度提高至最高10万美元。
微软高级项目经理Jarek Stanley在更新赏金计划的博客中表示:
“今天,我们宣布将会对这个计划进行更新来进一步激励人们提供更多具有影响力的研究,其中包括新的、最高可达10万美元的情境奖励。我们还更新这个计划的整体体程序,以实现与研究人员更无缝的对接,以及更快地为符合要求的研究提供赏金奖励。”
新的情境奖励共分成5级,从最高的10万至最低2万美元不等。要拿到最高10万美元,研究人员需要呈现一次非沙盒内无人为干扰且没有授权的远程代码执行; 如果可以演示在没有或少量人为干扰且没有授权的情况下访问用户数据的话就可以得到5万美元的奖金; 而在没有人为干扰下破坏数据或者拒绝服务则可以得到3万奖金。
以上都是可以透过远程实现的操作。而如果研究人员可以在本地做到沙盒逃逸,或者存没有授权的情况下从沙盒访问用户数据的话则可以得到2万美元的奖金。至于发现其他一般的漏洞则可以获得500至5000美元的奖金。
关于Windows预览者BUG赏金计划的更多讯息可以在这里看到。