聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
微軟提高了對 Microsoft 365 和 Dynamics 365/Power Platform 漏洞獎勵計劃高危缺陷的最高獎勵。提交 Office 365和 Microsoft Account 服務漏洞的安全研究員可最高獲得比原來高30%的獎勵。
微軟安全響應中心 (MSRC) 指出,「通過這些新場景的漏洞獎勵計劃,我們鼓勵研究員對客戶隱私和安全產生最高潛在影響的漏洞進行研究。對於符合要求的漏洞提交,獎金將增加最高30%(2.6萬美元)。」
微軟還指出,危害等級為非高危的缺陷仍然可獲得通用獎勵計劃下的獎勵。另外,根據所報告漏洞的嚴重性以及漏洞報告質量,研究員仍然可獲得更高的獎勵。微軟指出,「如果所報告的漏洞不符合『高影響場景』喜愛的漏洞獎勵,則可獲得『通用』獎勵下的漏洞獎勵。根據漏洞的嚴重性、漏洞的影響以及漏洞報告質量,微軟唯一決定是否可以獲得更高的獎勵。」
場景
最高獎勵
通過不受信任的輸入實現遠程代碼執行(CWE-94 對代碼生成的控制不當(『代碼注入』))
30.00%
通過不受信任的輸入實現遠程代碼執行(CWE-502 對不受信任數據的反序列化)
30.00%
越權跨租戶和跨身份敏感信息泄露(CWE-200 將敏感信息泄露給越權方)
20.00%
越權跨身份敏感信息泄露(CWE-488 將數據元素泄露給錯誤會話)
20.00%
「混淆」漏洞可用於實際攻擊中,使攻擊者繞過認證,訪問資源(CWE-918 服務器端請求偽造(SSRF))
15.00%
一周前,微軟宣布將本地 Exchange、SharePoint 和企業版Skype 納入漏洞獎勵計劃。安全研究員可報告影響本地版 Exchange 和 SharePoint 服務器的漏洞,獲得500到2.6萬美元不等的獎勵。MSRC 團隊指出,根據漏洞的影響力,研究員可獲得加成(15%到30%)的更高獎勵。
具體可見:https://www.microsoft.com/en-us/msrc/bounty-online-services
微軟將本地版Exchange、SharePoint和Skype 納入漏洞獎勵計劃
微軟推出 Power Platform 漏洞獎勵計劃
微軟將 Teams 移動應用納入漏洞獎勵計劃,最高獎金3萬美元
去年微軟頒發1360萬美元獎勵,中國提交的漏洞報告數量位列前三強
微軟WIP漏洞獎勵計劃新增基於攻擊場景的獎勵類別,最高$10萬
https://www.bleepingcomputer.com/news/security/microsoft-increases-awards-for-high-impact-microsoft-365-bugs/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表