对于发现 Office 365 和 Microsoft 帐户服务漏洞的安全研究人员,Microsoft 漏洞赏金价格最多提高 30%。
“通过这些新的基于场景的赏金奖励,我们鼓励研究人员将研究重点放在对客户隐私和安全具有最大潜在影响的漏洞上,”微软安全响应中心 (MSRC) 公告披露。
微软漏洞赏金的价格是多少?
对于符合条件的方案提交,奖励最多可增加 30%,每个报告的漏洞可达到 26,000 美元。 微软指出,不被视为“高优先级”的缺陷仍然有资格获得一般奖励计划的奖励。
该公司表示:“如果报告的漏洞不符合高影响场景下的赏金资格,它可能有资格获得一般奖下的赏金。” 根据漏洞的严重性和影响以及提交的质量,Microsoft 可以自行决定是否可以获得更高的奖励。
奖励增加
- 通过不受信任的输入执行远程代码(CWE-94“代码生成的不当控制(’代码注入’)”)降低了 30.00%
- 通过不受信任的输入(CWE-502“不受信任数据的反序列化”)执行远程代码 30.00%
- 未经授权的跨租户和跨身份敏感数据 1 泄漏(CWE-200 “向未经授权的参与者暴露敏感信息”)降低 20.00%
- 未经授权的跨身份敏感数据泄漏(CWE-488“数据元素暴露于错误会话”)减少 20.00%
- “混淆代理”漏洞可用于以绕过身份验证的方式访问资源的实际攻击(CWE-918“服务器端请求伪造(SSRF)”)15.00%
在一个完全不相关的说明中:即使您不是安全研究人员,您仍然可以从 Microsoft 赚钱!
微软还宣布已将其漏洞赏金计划扩大到包括 Exchange、SharePoint 和 Skype for Business。 安全研究人员现在可以发现并报告 Exchange 和 SharePoint 服务器中的漏洞,从而获得 500 美元到 26,000 美元不等的奖励。 根据严重性乘数(15% 到 30% 之间),赏金猎人可能会因漏洞而获得更高的报酬。
M365 赏金计划页面提供了有关奖励金额、高影响情况和新范围内域列表的更多信息。