微软宣布延长Office漏洞奖励计划:至2017年年底 - 栋科技

日前，微软官方已经宣布将延期Office漏洞奖励计划，该计划将运行到2017年12月31日。

微软的这一Office漏洞奖励计划发布于2017年3月中旬，其最初的计划是运行到2017年06月15日，根据安全研究人员所发现的漏洞严重程序和程序，奖励金额介于6000美元至1.5万美元不等，该计划主要针对的是Windows系统的Office Inside Builds。

如今，微软官方表示，安全研究人员可以在2017年12月31日前提交自己发现的漏洞报告，此次的计划延期对于临时期间提交的报告都具有追溯力！

目前，微软正在积极寻找Office Insider Builds中的各种问题，从而可以让用户提早访问Office新功能和安全创新，微软安全响应中心表示，这一计划能够让研究人员在功能大规模发布之前就识别出漏洞问题，并积极的查缺补漏。

根据微软官方公布的漏洞奖励计划，参与漏洞提交的安全研究人员最多可以获得1.5万美元的奖励，前提是发现的漏洞是通过Office Protected View沙箱逃逸实施的权限提升，绕过安全策略拦截Word、Excel和PPT中的宏执行，和绕过预定义扩展的Outlook自动附件拦截策略的代码执行的话。

只有上述漏洞类型的高质量报告才能获得最高奖励，而低质量的漏洞报告将获得的现金奖励并不会超过9000美元，而且这些漏洞报告提交PoC以证实报告的合法性，但不需要提交exp。

事实上，很多科技公司对于自己的产品都设置有专门的漏洞计划，比如说谷歌和三星等，而前几日一位乌拉圭高中生因为发现了谷歌后端服务漏洞而获得1万美元奖励的新闻更是让不少业界人士羡慕不已，毕竟这些科技公司上线的产品本身很少存在漏洞，而且发现一个漏洞获得的报酬也是不菲的。

三星方面也在本月中旬时宣布了自己的漏洞悬赏计划，设定的最高奖励数额达到了20万美金，同时该项目并不局限于三星发布的最新设备，包含了从2016年以来发布的一系列手机和平板电脑，总计38款。