新闻快讯
< >

微软宣布延期Office漏洞奖励计划,截止日期到今年年底12月31号

近日,微软宣布延期 Office 漏洞奖励计划,截止日期到今年年底12月31号,使安全研究人员有更充足的时间提交漏洞。

微软今年3月开始实行的漏洞奖励计划,最开始的截止时间是今年的6月15号,奖励金额在6000到15000美金之间,具体数额取决于漏洞的严重程度和类型。该漏洞奖励计划最开始是为 Windows 上的 Office Insider 而建立的。

而现在,微软表示安全研究人员在今年12月31日之前都可以提交相关漏洞,并且对那些在过渡期提交的漏洞也可以延长时限。

微软正在寻找 Office Insider Builds 中可能会存在的问题,这样可以让用户更早地接触到 Office 新功能和更强力的安全防护。

微软宣布延期Office漏洞奖励计划,截止日期到今年年底12月31号-E安全

微软安全响应中心首席安全团队经理 Phillip Misner 在博客中表示:

我们和安全社区的合作非常融洽,我们也会在 Windows  Office Insider Builds 中继续与安全社区合作。这这次的漏洞奖励计划可能标志着微软在大规模发布新版本前,找到其中可能会出现的漏洞会更加重要。

比如像利用 Office Protected View 进行沙盒逃逸和提权;绕过 Word,Excel,PowerPonit 中的安全保护措施,执行宏病毒;绕过 Outlook 中的 Blocked attachments 来预定义扩展,这样的漏洞提交都可以获得 15000 美金的漏洞奖励。

微软表示,只有那些最高级别的漏洞才会获得最高的奖金,对于质量不高的漏洞报告,收到的奖金不会超过9000美金。并且微软在漏洞奖励计划条款说明,对于上报的内容,必须要有相应的Poc。

而且这些提交的漏洞还要符合以下条件:

在打完最新安全补丁的 Windows 10 平台下运行;

使用的是最新版本的 Office Insider;

漏洞在以前并没有被提交过;

漏洞在以前版本可以复现,在最新版本中也可以复现。

而且,对于那些微软内部很知名,并且一直在研究中的那些问题,第一个符合条件的提交最多可以获得1500美金的漏洞奖励。

文章来源:freebuf 原文地址:http://www.freebuf.com/news/148382.html