Windows漏洞赏金计划:最高25万美元奖励安全研究

微软宣布启动Windows漏洞赏金计划,针对Hyper-V、缓解措施绕过、Windows Defender Application Guard和Microsoft Edge等重点领域,奖金范围从500美元到25万美元,鼓励安全研究人员报告漏洞。

Windows に関する報奨金プログラムの発表

本記事は、Microsoft Security Response Center のブログ “Announcing the Windows Bounty Program” (2017 年 7 月 26 日 米国时间公开) を翻訳したものです。

Windows 10 は世界に夸る軽减策を搭载し、私たちのセキュリティに対する精力的な取り組みを象徴する最高で最新の制品です。マイクロソフトのソフトウェア セキュリティを改善する长年にわたる戦略の 1 つとして、攻撃者が脆弱性を特定し悪用することを困难かつコストのかかる行为にするための、防御技术への投资が挙げられます。システムのセキュリティを强化するために、DEP、ASLR、CFG、CIG、ACG、Device Guard、および Credential Guard などの軽减策や防御策を組み込み、Windows Defender Application Guard のような防御机能を引き続き追加することで、シームレスなカスタマー エクスペリエンスを保证しながらエントリー ポイントの保护を大幅に强化していきます。 Windows のセキュリティ水準を高く保つ方针のもと、2017 年 7 月 26 日に Windows に関する报奨金プログラムを开始します。このプログラムは Hyper-V、軽减策バイパス、Windows Defender Application Guard、および Microsoft Edge の重点分野に加え、Windows Insider Preview のすべての机能を対象とします。また、Hyper-V のバグ报奨金プログラムに関しては、报奨金の支払い额の范围を扩大します。 2013 年以来、私たちはさまざまな Windows 机能に関する复数の报奨金プログラムを実施しています。セキュリティは常に変化しており、异なる时点で异なる种类の脆弱性を优先します。マイクロソフトはバグ报奨金プログラムに高い価値があると确信し、私たちのセキュリティ机能の拡张に役立つと信じています。 プログラムの概要は、以下のとおりです。

  • お客様のプライバシーおよびセキュリティを侵害する重大または重要なリモートでのコード実行や、特権の昇格、または设计上の课题に対して、报奨金が支払われます
  • この报奨金プログラムは、マイクロソフトの自由裁量により无期限に継続されます
  • 报奨金の支払い额の范围は、500 米国ドルから 250,000 米国ドルです
  • もし研究者が、条件を満たす脆弱性で既にマイクロソフト内部で発见されたものを报告した场合、発见者が受け取る可能性のあった最高额の最大 10% を报奨金としてその発见者に支払います (例: Edge のリモートでのコード実行の場合は 1,500 米国ドル、Hyper-V のリモートでのコード実行の場合は 25,000 米国ドル)
  • マイクロソフトはすべてのセキュリティ関連のバグを重要视しています。発见したセキュリティ関連のバグはすべて、协调的な脆弱性の公开 (CVD) ポリシーのもと secure@microsoft.com までお知らせください
  • Insider Preview に含まれる Windows の新しい机能に関する最新の情报については、Windows 10 Insider Program Blog (英语情报) を参照してください
  • 対象および重点分野の详细については、以下の表を参照してください。
カテゴリ 対象 Windows のバージョン 报奨金の范围 (米国ドル)
重点分野 Microsoft Hyper-V Windows 10/Windows Server 2012/2012 R2/Insider Preview $5,000 から $250,000
重点分野 軽减策バイパスおよび防御策 Windows 10 $500 から $200,000
重点分野 Windows Defender Application Guard WIP slow $500 から $30,000
重点分野 Microsoft Edge WIP slow $500 から $15,000
基本 Windows Insider Preview WIP slow $500 から $15,000

マイクロソフト报奨金プログラムの最新情报は、こちらの Web サイトおよび関連规约や FAQ を参照してください。

Akila Srinivasan、Joe Bialek、Matt Miller - Microsoft Security Response Center
David Weston、Jason Silves - Windows and Devices Group Enterprise and Security
Arthur Wongtschowski、Mary Lee、Ron Aquino、Riley Pittman - Windows and Devices Group Information Security

■ ご报告時の注意点
マイクロソフトの报奨金プログラムへご参加される場合は、脆弱性报告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご报告いただく必要があります 。この际、英语でのご报告が困难な場合は日本语の并记・记载でも构いません。これは、报奨金受赏者选定において、公平性の観点で重要となります。皆様のご参加をお待ちしています!

■ 関連情报

  • マイクロソフト报奨金プログラムについて: マイクロソフト报奨金プログラム
  • 脆弱性报告窓口「 脆弱性に関する情报をお寄せください 」: 报奨金プログラムへ参加せず、日本语で脆弱性报告を行う場合はこちらからお寄せ下さい。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次