宣布Windows漏洞赏金计划
Windows 10代表了我们在安全方面最强最新的承诺,具备世界级的缓解措施。微软长期以来改善软件安全的策略之一是投资于防御技术,使攻击者难以发现、利用和利用漏洞,并增加其成本。我们内置了缓解措施和防御机制,如DEP、ASLR、CFG、CIG、ACG、设备防护和凭据防护,以强化我们的系统,并持续添加防御措施,如Windows Defender应用防护,以显著增强保护,强化入口点,同时确保客户体验无缝。
本着保持Windows高安全标准的精神,我们于2017年7月26日启动Windows漏洞赏金计划。这将包括Windows Insider Preview的所有功能,以及Hyper-V、缓解绕过、Windows Defender应用防护和Microsoft Edge等重点领域。我们还将提高Hyper-V漏洞赏金计划的支付范围。
自2013年以来,我们已为各种Windows功能推出了多个赏金计划。安全始终在变化,我们在不同时间优先处理不同类型的漏洞。微软坚信漏洞赏金的价值,并相信它有助于增强我们的安全能力。
整体计划亮点:
- 任何关键或重要类别的远程代码执行、权限提升或设计缺陷,如果损害客户的隐私和安全,将获得赏金
- 赏金计划是持续的,并将根据微软的判断无限期继续
- 赏金支付范围从500美元到250,000美元
- 如果研究人员报告了微软内部已发现的合格漏洞,将向第一个发现者支付最高可达他们本可获得金额的10%(例如:Edge中的RCE为1,500美元,Hyper-V中的RCE为25,000美元)
- 所有安全漏洞对我们都很重要,我们要求您通过协调漏洞披露(CVD)政策将所有安全漏洞报告至secure@microsoft.com
- 有关Insider预览版中包含的最新Windows功能信息,请访问Windows 10 Insider Program博客
目标和重点领域的详细信息如下表所示:
| 类别 | 目标 | Windows版本 | 支付范围(美元) |
|---|---|---|---|
| 重点领域 | Microsoft Hyper-V | Windows 10、Windows Server 2012 R2、Windows Server Insider Preview | 5,000至250,000 |
| 重点领域 | 缓解绕过和防御赏金 | Windows 10 | 500至200,000 |
| 重点领域 | Windows Defender应用防护 | WIP慢速版 | 500至30,000 |
| 重点领域 | Microsoft Edge | WIP慢速版 | 500至15,000 |
| 基础 | Windows Insider Preview | WIP慢速版 | 500至15,000 |
一如既往,有关微软漏洞赏金计划的最新信息可在https://aka.ms/BugBounty及相关条款和常见问题解答中找到。
微软安全响应中心的Akila Srinivasan、Joe Bialek和Matt Miller
Windows和设备集团企业与安全的David Weston和Jason Silves
Windows和设备集团信息安全的Arthur Wongtschowski、Mary Lee、Ron Aquino和Riley Pittman