祝贺James Forshaw获得我们首笔10万美元赏金：全新缓解绕过技术！

BlueHat / 作者：bluehat / 2013年10月08日 / 阅读时间：2分钟

祝贺James Forshaw提出了一种新的利用技术，获得了我们有史以来第一笔10万美元的赏金。作为Context Information Security的安全漏洞研究员，James在IE11预览版漏洞赏金计划中已经因发现设计级漏洞而表现出色，我们非常高兴能够为他提供更多奖金，以感谢他帮助我们大幅提升平台级安全。

巧合的是，微软的一位杰出工程师Thomas Garnier也发现了这类攻击技术的一个变体。像Thomas这样的微软工程师不断评估提升安全性的方法，但James提交的报告质量极高，并概述了其他一些变体，因此我们决定授予他全额10万美元的赏金。

尽管在解决该问题之前，我们无法详细说明这种新的缓解绕过技术，但我们很高兴通过了解这一技术及其变体，能够为未来版本的产品创建新的防御措施，从而更好地保护客户。

我们为新的攻击技术支付比单个漏洞更高的奖金，原因是了解新的缓解绕过技术有助于我们开发针对整类攻击的防御措施。这些知识帮助我们在攻击者试图利用漏洞攻击客户时，降低单个漏洞的利用价值。当我们加强平台级缓解措施时，我们不仅使微软应用程序中的漏洞更难被利用，还使所有在我们平台上运行的软件中的漏洞更难被利用。

如果您有一种新的缓解绕过技术，可以击败我们最新的平台级缓解措施，或者有新的防御想法，并希望参与我们的赏金计划，请参阅官方指南。有关符合资格的攻击技术的技术描述，请阅读Matt Miller和William Peteroy在SRD博客上的文章。如果您有符合范围的想法，请将您的白皮书和概念验证代码发送至secure [at] Microsoft [dot] com。

我们新推出的赏金计划仍在不断发展，目前已支付超过128,000美元。请关注本博客，了解未来进展，因为我们继续完善行业中规模最大的持续供应商赏金计划。

在此，我们特别感谢James：祝贺并干得漂亮！您不仅通过从我们的赏金计划中获得总计109,400美元而创造了历史，还帮助我们保护客户免受整类攻击。代表全球超过十亿人——感谢您，继续加油！

Katie Moussouris
高级安全策略师，微软安全响应中心
https://twitter.com/k8em0
（那是零）