Microsoft объявила о новом вознаграждении для Project Spartan, расширив как программу вознаграждений за ошибки в онлайн-сервисах, так и вознаграждение Mitigation Bypass.
Программа Project Spartan Bounty является краткосрочной и продлится до 22 июня. Он предназначен для уязвимостей в браузерах под брендом Microsoft, поставляемых с предварительной версией Windows 10, и квалифицированные заявки будут выплачиваться от 500 до 15 000 долларов по усмотрению Microsoft в зависимости от качества и сложности уязвимости.
Эта программа вознаграждений открыта для физических лиц, и для участия вы должны быть не моложе 14 лет, не быть сотрудником Microsoft или каким-либо образом иметь отношение к программе и не проживать в стране или регионе, подпадающем под санкции США. Если вы работаете в исследовательской организации в области безопасности, вы можете участвовать только в том случае, если можете сделать это в своем личном качестве.
Включены четыре типа уязвимости. В нижней части диапазона вознаграждений находится раскрытие информации о случайном выборе адресного пространства (ASLR), которое представляет собой уязвимость, которая приводит к получению надежной информации о выделении стека памяти, выполняемом ASLR. Чтобы претендовать на наивысшее вознаграждение, вам необходимо предоставить работающий эксплойт и высококачественный отчет, относящийся к удаленному выполнению кода (RCE) или уязвимости выхода из песочницы.
Microsoft также расширяет программу вознаграждений за ошибки в онлайн-сервисах, которая была запущена в сентябре прошлого года, а также увеличивает ее максимальную выплату до 15 000 долларов. Первоначально эта программа применялась только к Office 365, но теперь включает ряд служб Azure, таких как: виртуальные машины Azure, облачные службы Azure, хранилище Azure и Azure Active Directory.
Новое дополнение к вознаграждению Mitigation Bypass, за которое в прошлом выплачивались 100000 долларов США, предназначено для уязвимостей, связанных с выходом из Hyper-V, DoS-атак между гостями, гостями и гостями (не распространяется, от одного гостя).
По словам Джейсона Ширка в своем заявлении на TechNet:
Эти важные дополнения к бонусным программам отражают продолжающийся сдвиг и развитие технологий в сторону облака.
Он также напоминает разработчикам о важности того вклада, который они могут внести в повышение безопасности продуктов и услуг Microsoft.
Microsoft имеет долгую историю тесного сотрудничества с исследователями безопасности. Я лично провел тестирование на проникновение и защиту от эксплойтов и понимаю, что это интенсивная и трудная работа. Могу сказать, что мы искренне ценим этот вклад. Награды за ошибки становятся все более важной частью экосистемы исследования уязвимостей и защиты и со временем будут развиваться.