Microsoft Edge Web平台漏洞赏金计划条款更新

本文介绍了Microsoft针对Windows Insider Preview中Edge浏览器的漏洞赏金计划更新,新增对同源策略绕过和Referer欺骗漏洞的奖励,涵盖远程代码执行和Chakra引擎开源部分的安全问题,赏金金额从500到15000美元不等。

Microsoft Edge Web平台在Windows Insider Preview漏洞赏金计划条款更新

2016年8月4日,我们启动了一项针对Windows Insider Preview Slow(WIP slow)版本中Microsoft Edge远程代码执行(RCE)漏洞的赏金计划。今天,我们将对此赏金计划进行补充。由于安全是一个持续的过程而非终点,我们在不同时间点优先获取不同类型的漏洞。目前,我们重点关注导致违反W3C标准、危及用户数据隐私和完整性的漏洞,以及远程代码执行漏洞。该计划现在包括:

  • 同源策略绕过漏洞(例如:UXSS)
  • Referer欺骗漏洞
  • Windows Insider Preview中Microsoft Edge的远程代码执行漏洞
  • Chakra开源部分的漏洞

赏金计划将从2016年8月4日持续到2017年5月15日,2016年8月4日之后提交到secure@microsoft.com的UXSS和Referer欺骗漏洞将获得追溯奖励。

赏金支付金额从500美元到15,000美元不等。

如果研究人员报告了一个Microsoft内部已经发现的合格漏洞,将向首位发现者支付最高1,500美元的奖励。

漏洞必须在最新的Windows Insider Preview(慢速通道)上可重现。

所有安全漏洞对我们都很重要,我们请求您将所有Microsoft Edge浏览器安全漏洞报告至secure@microsoft.com。

有关Insider Preview中包含的最新Windows功能信息,请访问Windows 10 Insider Program博客。

一如既往,有关Microsoft赏金计划的最新信息可在https://aka.ms/BugBounty以及相关条款和常见问题解答中找到。

Akila Srinivasan和Crispin Cowan

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次