宣布Windows漏洞赏金计划
Windows 10代表了我们对安全性的坚定承诺,配备了世界级的缓解措施。微软长期以来改进软件安全的策略之一,是投资于防御技术,使攻击者难以发现、利用和利用漏洞,并增加其成本。我们内置了诸如DEP、ASLR、CFG、CIG、ACG、设备保护和凭据保护等缓解措施和防御机制,以强化我们的系统,并持续添加如Windows Defender应用程序防护等防御措施,显著增强保护,强化入口点,同时确保客户体验无缝。
本着在Windows中保持高安全标准的精神,我们于2017年7月26日启动Windows漏洞赏金计划。这将包括Windows Insider Preview的所有功能,以及Hyper-V、缓解绕过、Windows Defender应用程序防护和Microsoft Edge等重点领域。我们还将提高Hyper-V漏洞赏金计划的支付范围。
自2013年以来,我们已为各种Windows功能推出了多个赏金计划。安全形势不断变化,我们在不同时间优先处理不同类型的漏洞。微软坚信漏洞赏金的价值,并相信它有助于增强我们的安全能力。
整体计划亮点:
- 任何关键或重要类别的远程代码执行、权限提升或设计缺陷,若危及客户隐私和安全,将获得赏金
- 赏金计划是持续的,并将根据微软的判断无限期继续
- 赏金支付范围从500美元到25万美元
- 如果研究人员报告了一个微软内部已发现的合格漏洞,将向首位发现者支付最高可达他们本可获得金额的10%(例如:Edge中的RCE为1,500美元,Hyper-V中的RCE为2.5万美元)
- 所有安全漏洞对我们都很重要,我们要求您通过协调漏洞披露(CVD)政策将所有安全漏洞报告至secure@microsoft.com
- 有关Insider Previews中包含的最新Windows功能信息,请访问Windows 10 Insider Program博客
目标和重点领域的详细信息可在下表中找到:
| 类别 | 目标 | Windows版本 | 支付范围(美元) |
|---|---|---|---|
| 重点领域 | Microsoft Hyper-V | Windows 10、Windows Server 2012 R2、Windows Server Insider Preview | 5,000 至 250,000 |
| 重点领域 | 缓解绕过和防御赏金 | Windows 10 | 500 至 200,000 |
| 重点领域 | Windows Defender应用程序防护 | WIP slow | 500 至 30,000 |
| 重点领域 | Microsoft Edge | WIP slow | 500 至 15,000 |
| 基础 | Windows Insider Preview | WIP slow | 500 至 15,000 |
一如既往,有关Microsoft漏洞赏金计划的最新信息可在https://aka.ms/BugBounty以及相关条款和常见问题解答中找到。
来自Microsoft安全响应中心的Akila Srinivasan、Joe Bialek和Matt Miller
来自Windows和设备集团企业与安全的David Weston、Jason Silves
来自Windows和设备集团信息安全的Arthur Wongtschowski、Mary Lee、Ron Aquino和Riley Pittman