本周,微软推出 Edge 浏览器的下一代版本的Beta预览版,同时推出Edge Insider 漏洞奖励计划。如果研究人员能够从基于 Chromium 的 Beta 或 Dev 版本的Edge 浏览器中发现影响大的漏洞,则最高可获得3万美元的奖励。微软表示,该漏洞奖励计划的目的是补充谷歌推出的 Chrome 漏洞奖励计划,因此微软审议的合法的漏洞报告应该是能够在微软 Edge 浏览器最新版本而非 Chrome 浏览器复现的漏洞,且根据漏洞的严重性、影响力和报告质量确定赏金金额。
注:表中的“远程代码执行漏洞”是指存在于基于 Chromium 的Edge 浏览器中的可导致攻击者远程访问受害者计算设备并做出更改的漏洞,而不考虑设备的地理位置因素。影响 Edge下一代版本的合法漏洞报告将在研究者认可计划 (Researcher Recognition Program) 中获得2倍的奖金乘数。另外,新推出的这项漏洞奖励计划将在复现完成且评估完所有漏洞报告后立即发放赏金。新推出的 EdgeInsider 漏洞奖励计划(Beta 和 Dev 版本基于Chromium 的 Edge 浏览器中的严重和重要级别漏洞,最高赏金3万美元)将和现有的针对 Windows Insider Preview 版本的 Edge (EdgeHTML) 漏洞奖励计划(Windows Insider Preview 版本基于 EdgeHTML 的 Edge 浏览器中的严重远程代码执行漏洞和设计问题,最高赏金1.5万美元)同时运行。在最新且完全修复的 Windows 版本(包括 Windows 10、Windows 7 SP1 或 Windows 8.1)或 MacOS 中能够复现的漏洞或有资格参与 Edge Insider 漏洞奖励计划。另外,并不要求漏洞适用于 Windows Insider Preview 版本。
原文链接
https://msrc-blog.microsoft.com/2019/08/20/announcing-the-microsoft-edge-insider-channels-bounty/https://www.microsoft.com/en-us/msrc/bounty-new-edge?rtc=1
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。