新浪科技訊北京時間6月23日消息,微軟宣布了一項新的漏洞獎勵計劃。對於信息安全研究人員發現的Windows 8.1或IE11的漏洞,每個漏洞微軟有可能給予最高15萬美元的獎勵。
去年,微軟曾在Bluehat大賽中推出了漏洞獎勵措施。不過,Bluehat大賽並非關注尋找漏洞,而是尋找最有價值、最具創新性的解決方式。去年夏季,在拉斯維加斯的Black Hat信息安全大會上,微軟發放了20萬美元的高額獎金。
在最新的獎勵計劃中,微軟的獎勵分為3種。如果研究人員找到針對Windows 8.1保護機制的新漏洞,那麼可以獲得最高10萬美元的“減輕繞開獎金”。而如果研究人員能針對已確認的攻擊技術提供有效的防禦措施,那麼還可以獲得5萬美元額外的“Bluehat防禦獎金”。因此針對單個漏洞的獎金總額最高達到15萬美元。
此外,微軟還提供了“IE11預覽版漏洞獎金”。對於研究人員發現的Windows 8.1中IE11的關鍵漏洞,微軟將支付每個漏洞1.1萬美元的獎金。
微軟新的漏洞獎勵計劃將於6月26日開始。屆時微軟也將發布帶IE11的Windows 8.1預覽版。“減輕繞開獎金”和“Bluehat防禦獎金”將長期提供,而“IE11預覽版漏洞獎金”將只持續30天。
微軟高級安全策略師凱蒂·莫蘇里斯(Katie Moussoris)在博客中宣布了這一漏洞獎勵計劃的啟動。他表示,微軟此前已進行了大量工作,解決相關軟件中的漏洞。目前微軟將與信息安全研究人員甚至黑客合作,在漏洞帶來惡意攻擊事件之前找到並解決這些漏洞。
Veracode聯合創始人及首席技術官克里斯·維索佩爾(Chris Vysopal)表示,漏洞獎勵計劃的最大好處在於鼓勵信息安全研究社區與微軟合作,而不是對抗。此前,許多信息安全研究人員認為,他們完成了本應由軟件公司完成了大量勞動,但卻沒有得到任何報酬。而類似微軟此次開展的漏洞獎勵計劃將帶來必要的激勵,促使信息安全研究人員在找到漏洞後首先上報,並在漏洞解決前對其保密。
業內人士認為,這一漏洞獎勵計劃將有助於改進微軟的所有產品。近年來,微軟採取了大量工作,以加強漏洞減輕技術,不過仍有很大的提升空間。(張帆)
更多詳情:http://blogs.technet.com/b/srd/archive/2013/06/17/new-bounty-program-details.aspx
.微軟懸賞16萬美元尋找Windows 8.1漏洞
http://digital1010.blogspot.com/2013/06/16windows-81.html
