.NET漏洞赏金计划奖金提升至4万美元
我们很高兴宣布微软.NET漏洞赏金计划的重要更新。这些变化扩展了计划范围,简化了奖励结构,并为安全研究人员提供了更有力的激励。
.NET漏洞赏金计划现在为影响.NET和ASP.NET Core(包括Blazor和Aspire)的漏洞提供高达40,000美元的奖金。
计划范围扩展
.NET漏洞赏金计划现在提供更广泛的覆盖范围,包括:
- 所有受支持版本的.NET和ASP.NET
- 相邻技术如F#
- .NET Framework的受支持版本ASP.NET Core
- 受支持版本.NET和ASP.NET Core提供的模板
- .NET和ASP.NET Core代码库中的GitHub Actions
这些更新确保了对微软客户在更广泛技术范围内的持续安全审查和保护。
奖励结构更新
重构的.NET漏洞赏金计划在评估和奖励提交内容方面引入了多项改进。新的奖励表现在明确定义了严重性级别,指定了不同类型的安全影响,并概述了修订后的报告质量标准。
- 明确的严重性级别:奖励现在基于漏洞的潜在影响,确保更高影响的问题获得更多奖励。
- 统一的影响类别:安全影响类型现在与微软其他赏金计划使用的类型一致,帮助研究人员理解其提交内容将如何被评估。
- 定义的报告质量:提交内容被评级为"完整"或"不完整"。只有包含完全可用漏洞利用的报告才符合"完整"标准。理论场景仍会被考虑,但根据实际影响获得较低奖励。
这些更新促进了透明度,并鼓励提供有助于提高.NET生态系统安全性的详细、可操作的提交内容。
提高奖励金额
我们提高了奖励金额,以更好地反映在.NET中发现和利用漏洞的复杂性。
| 安全影响 | 报告质量 | 严重 | 重要 |
|---|---|---|---|
| 远程代码执行 | 完整 | $40,000 | $30,000 |
| 远程代码执行 | 不完整 | $20,000 | $20,000 |
| 权限提升 | 完整 | $40,000 | $10,000 |
| 权限提升 | 不完整 | $20,000 | $4,000 |
| 安全功能绕过 | 完整 | $30,000 | $10,000 |
| 安全功能绕过 | 不完整 | $20,000 | $4,000 |
| 远程拒绝服务 | 完整 | $20,000 | $10,000 |
| 远程拒绝服务 | 不完整 | $15,000 | $4,000 |
| 欺骗或篡改 | 完整 | $10,000 | $5,000 |
| 欺骗或篡改 | 不完整 | $7,000 | $3,000 |
| 信息泄露 | 完整 | $10,000 | $5,000 |
| 信息泄露 | 不完整 | $7,000 | $3,000 |
| 文档或示例不安全 | 完整 | $10,000 | $5,000 |
| 文档或示例不安全 | 不完整 | $7,000 | $3,000 |
感谢我们的研究人员和合作者持续的合作。你们的贡献对于加强.NET的安全性至关重要,我们期待你们未来的提交。
致礼,
Madeline Eckert, MSRC和Barry Dorrans, .NET安全团队