微软提高 Microsoft 365 的漏洞奖励
编译:代码卫士
微软提高了对 Microsoft 365 和 Dynamics 365/Power Platform 漏洞奖励计划高危缺陷的最高奖励。提交 Office 365和 Microsoft Account 服务漏洞的安全研究员可最高获得比原来高30%的奖励。
微软安全响应中心 (MSRC) 指出,“通过这些新场景的漏洞奖励计划,我们鼓励研究员对客户隐私和安全产生最高潜在影响的漏洞进行研究。对于符合要求的漏洞提交,奖金将增加最高30%(2.6万美元)。”
微软还指出,危害等级为非高危的缺陷仍然可获得通用奖励计划下的奖励。另外,根据所报告漏洞的严重性以及漏洞报告质量,研究员仍然可获得更高的奖励。微软指出,“如果所报告的漏洞不符合‘高影响场景’喜爱的漏洞奖励,则可获得‘通用’奖励下的漏洞奖励。根据漏洞的严重性、漏洞的影响以及漏洞报告质量,微软唯一决定是否可以获得更高的奖励。”
场景 | 最高奖励 |
通过不受信任的输入实现远程代码执行(CWE-94 对代码生成的控制不当(‘代码注入’)) | 30.00% |
通过不受信任的输入实现远程代码执行(CWE-502 对不受信任数据的反序列化) | 30.00% |
越权跨租户和跨身份敏感信息泄露(CWE-200 将敏感信息泄露给越权方) | 20.00% |
越权跨身份敏感信息泄露(CWE-488 将数据元素泄露给错误会话) | 20.00% |
“混淆”漏洞可用于实际攻击中,使攻击者绕过认证,访问资源(CWE-918 服务器端请求伪造(SSRF)) | 15.00% |
一周前,微软宣布将本地 Exchange、SharePoint 和企业版Skype 纳入漏洞奖励计划。安全研究员可报告影响本地版 Exchange 和 SharePoint 服务器的漏洞,获得500到2.6万美元不等的奖励。MSRC 团队指出,根据漏洞的影响力,研究员可获得加成(15%到30%)的更高奖励。
具体可见:https://www.microsoft.com/en-us/msrc/bounty-online-services
微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划
微软将 Teams 移动应用纳入漏洞奖励计划,最高奖金3万美元
https://www.bleepingcomputer.com/news/security/microsoft-increases-awards-for-high-impact-microsoft-365-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。