微软赏金计划扩展 – Microsoft Edge远程代码执行（RCE）漏洞赏金计划

本文章翻译自Microsoft Security Response Center的博客“Microsoft Bounty Programs Expansion – Microsoft Edge Remote Code Execution (RCE) Bounty”（2016年8月4日美国时间发布）。

今天，我们宣布进一步扩展微软赏金计划。微软将启动针对Windows Insider Preview版本上Microsoft Edge中远程代码执行漏洞的赏金计划。

该赏金计划延续了微软与安全研究社区的合作伙伴关系，有助于在开发过程的预发布阶段保持微软平台的安全。Windows Insider程序旨在塑造Windows的未来，提供包括新安全功能和缓解措施在内的最新功能。有关Insider Preview中包含的Windows新功能的最新信息，请参阅Windows 10 Insider Program Blog。

由于赏金计划针对的是预发布软件，可能会报告微软已经在努力解决的漏洞示例。在这种情况下，我们将向首次报告问题的外部研究人员支付最高1,500美元，以感谢他们发现这些漏洞的努力。有关Microsoft Edge远程代码执行（RCE）漏洞赏金计划的详细信息，请参阅https://aka.ms/bugbounty/（英文信息）。计划的亮点如下：

• 针对Windows Insider Preview上的Microsoft Edge中的远程代码执行漏洞
• 包括Chakra的开源部分
• 赏金计划实施时间为2016年8月4日至2017年5月15日（美国时间）
• 赏金金额范围为500美元至15,000美元
• 如果研究人员报告的符合条件的漏洞已被微软内部发现，将向首次发现者支付最高1,500美元
• 漏洞必须在最新的Windows Insider Preview（Slow track）上可重现

这一新的赏金计划是对当前正在进行的Online Services赏金计划以及Mitigation bypass and Bounty for Defense赏金计划的补充。这些扩展是微软严格安全计划的一部分。赏金计划补充了微软的安全开发生命周期（SDL）、操作安全保证（OSA）框架、对微软产品和服务的定期渗透测试，以及通过第三方审计获得的安全和合规认证。

有关微软赏金计划的最新信息，请参阅此网站及相关条款和FAQ。

Start your fuzzers! – Jason Shirk

报告时的注意事项 参与微软赏金计划时，所有漏洞报告必须按照此指南直接发送至美国secure@microsoft.com。如果英语报告有困难，可以同时使用日语。这在赏金获奖者选择中对于公平性非常重要。我们期待您的参与！

相关信息

• 关于微软赏金计划：Microsoft Bounty Programs（英文信息）
• 本次扩展的计划：Microsoft Bounty Programs Expansion – Microsoft Edge Remote Code Execution (RCE) Bounty（英文信息）
• 漏洞报告窗口“请提供漏洞信息”：如果不参与赏金计划并希望用日语报告漏洞，请从此处提交。