微软宣布延长Office漏洞奖励计划:至2017年年底
日前,微软官方已经宣布将延期Office漏洞奖励计划,该计划将运行到2017年12月31日。
微软的这一Office漏洞奖励计划发布于2017年3月中旬,其最初的计划是运行到2017年06月15日,根据安全研究人员所发现的漏洞严重程序和程序,奖励金额介于6000美元至1.5万美元不等,该计划主要针对的是Windows系统的Office Inside Builds。
如今,微软官方表示,安全研究人员可以在2017年12月31日前提交自己发现的漏洞报告,此次的计划延期对于临时期间提交的报告都具有追溯力!
目前,微软正在积极寻找Office Insider Builds中的各种问题,从而可以让用户提早访问Office新功能和安全创新,微软安全响应中心表示,这一计划能够让研究人员在功能大规模发布之前就识别出漏洞问题,并积极的查缺补漏。
根据微软官方公布的漏洞奖励计划,参与漏洞提交的安全研究人员最多可以获得1.5万美元的奖励,前提是发现的漏洞是通过Office Protected View沙箱逃逸实施的权限提升,绕过安全策略拦截Word、Excel和PPT中的宏执行,和绕过预定义扩展的Outlook自动附件拦截策略的代码执行的话。
只有上述漏洞类型的高质量报告才能获得最高奖励,而低质量的漏洞报告将获得的现金奖励并不会超过9000美元,而且这些漏洞报告提交PoC以证实报告的合法性,但不需要提交exp。
事实上,很多科技公司对于自己的产品都设置有专门的漏洞计划,比如说谷歌和三星等,而前几日一位乌拉圭高中生因为发现了谷歌后端服务漏洞而获得1万美元奖励的新闻更是让不少业界人士羡慕不已,毕竟这些科技公司上线的产品本身很少存在漏洞,而且发现一个漏洞获得的报酬也是不菲的。
三星方面也在本月中旬时宣布了自己的漏洞悬赏计划,设定的最高奖励数额达到了20万美金,同时该项目并不局限于三星发布的最新设备,包含了从2016年以来发布的一系列手机和平板电脑,总计38款。