Microsoft wird Ihnen Geld für das Aufspüren bestimmter Sicherheitslücken für Microsoft Edge im Windows Insider-Programm auszahlen - Rechnen - 2019

Anonim

Microsofts Jason Shirk vom MSRC-Team berichtet, dass das Unternehmen ein weiteres Bounty-Programm zu seiner Liste für Bugjäger hinzugefügt hat. Dieser befasst sich mit möglichen Schwachstellen bei der Remotecodeausführung in der Version von Microsoft Edge, die den Teilnehmern des Windows Insider-Programms bereitgestellt wird. Für Verbraucher bedeutet dies, dass bereits ein großer Teil der Sicherheitslücken aufgespürt und gepatcht wurde, bevor eine neue Version des Browsers veröffentlicht wird.

"Diese Prämie setzt unsere Partnerschaft mit der Sicherheitsforschungsgemeinschaft fort, indem wir daran arbeiten, unsere Plattformen in Vorstufen des Entwicklungsprozesses zu sichern", schreibt Shirk. "Das Windows Insider-Programm wurde entwickelt, um die Zukunft von Windows mitzugestalten und stellt die neuesten Funktionen, einschließlich neuer Sicherheitsfunktionen und -maßnahmen, dar."

Die neue Microsoft Edge-Bounty begann am 4. August 2016 und endet am 15. Mai 2017. Bugjäger werden für ihre Recherchen gut bezahlt und verdienen zwischen 500 und 15.000 US-Dollar. Wenn sie jedoch auf eine Sicherheitslücke treffen, die eine Qualifikation darstellt intern von Microsoft gefunden, dann bietet das Unternehmen bis zu $ ​​1, 500 für die erste "externe" Person, die einen Bericht einreicht.

Darüber hinaus müssen alle von Forschern aufgedeckten Schwachstellen auf der neuesten Version von Windows 10 im Windows Insider-Programm "slow ring" reproduziert werden. Für den Uneingeweihten wird das Windows Insider-Programm in "schnell", "langsam" und "Release" unterteilt Preview "klingelt. Die erste Gruppe erhält Builds, sobald sie fertig sind, die zweite Gruppe erhält etwas mehr polierte und stabile Builds mit einer langsameren Rate und die dritte Gruppe genießt neue Features mit wenig oder keinem Risiko für ihre Geräte.

Das neue Microsoft Edge-Bounty schließt sich einer Reihe anderer Programme an, die Microsoft derzeit Forschern anbietet, darunter die Bug Bug Bounty für die Online-Dienste, die Bug Bug Bounty für die Nano-Server Technical Preview, die .NET Core und ASP.NET Core RC2 Bug Bounty, die Mitigation Bypass Bounty, und das Bounty for Defense-Programm.

Zuvor gab es eine Microsoft Edge-Bug-Bounty für technische Vorschau, die am 22. April 2015 begann und am 22. Juni 2015 endete. Laut der Auflistung zahlte Microsoft zwischen $ 1, 500 und $ 15.000 für die Erkennung von Remotecodeausführung und für Finden einer Sandbox Escape-Schwachstelle im erweiterten geschützten Modus. Zwischen $ 1, 500 und $ 6.000 wurden für Sicherheitslücken mit höherem Schweregrad im Browser oder EdgeHTML bezahlt, und lediglich $ 500 wurden für ASLR Info Disclosure-Schwachstellen in Edge oder EdgeHTML bezahlt.

"Unsere neuen Bounty-Programme erweitern unsere bestehenden Community-Outreach-Programme um erweiterte Tiefe und Flexibilität", erklärt Microsoft. "Mit diesen Prämienprogrammen können die kollektiven Informationen und Fähigkeiten von Sicherheitsforschern genutzt werden, um die Kunden weiter zu schützen."

Derzeit wird das neue Microsoft Edge-Kopfgeld nicht auf der Microsoft Bounty Programs-Website angezeigt. Vier der oben aufgelisteten Boundies laufen, während die .NET Core und ASP.NET Core RC2 Bug Bounty am 7. September 2016 endet. Wenn Sie unter den "Hacker" und "Forscher" Schirm fallen und etwas Geld verdienen wollen, nehmen Sie ein Schau dir an, was Microsoft anbietet. Sie werden uns alle helfen und ein paar nette grüne Rechnungen eintreiben.