翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
微软延期漏洞奖励计划
微软已宣布延期Office漏洞奖励计划,即该计划将运行到2017年12月31日。
这个漏洞奖励计划发布于2017年3月中旬,最初计划运行至2017年6月15日,根据所发现漏洞的严重程度和类型,奖励金额介于6000美元至1.5万美元不等。该计划针对的是Windows系统的Office Inside Builds。
微软表示研究人员可在2017年12月31日前提交漏洞报告,而这次延期对于在这个临时期间提交的报告都具有追溯力。微软正在寻找Office Insider Builds中的问题,它能让用户提早访问Office新功能和安全创新。微软安全响应中心指出这计划能让研究人员在功能大规模发布之前识别出漏洞问题。
拿奖条件
参与的研究人员可获得最多1.5万美元的奖励,如果发现的漏洞是通过Office Protected View沙箱逃逸实施的权限提升,绕过安全策略拦截Word、Excel和PPT中的宏执行,和绕过预定义扩展的Outlook自动附件拦截策略的代码执行。
只有关于上述漏洞类型的高质量漏洞报告才会赢得最高奖励。低质量的报告所获奖励不会超过9000美元。必须提交PoC以证实报告的合法性,但不需要提交exp。微软在此页面解释说。
合法提交应该“在一个完全修复的Windows桌面上的当前Office Insider build中找到原始且未经报告的漏洞。”如所提交漏洞能够在之前的build上重现但在当前版本上无法办到则视为不合法。
微软化指出,第一个提交的外部合法报告如果是关于内部已知晓并正在积极开发过程中的漏洞,那么最多可获得1500美元的奖励。
研究人员应向secure@microsoft.com提交漏洞报告。
文章原文链接:https://www.anquanke.com/post/id/86876