信息來源:安全內參
前情回顧·科技巨頭的安全戰(zhàn)略
安全內參8月18日消息,微軟官方宣布�����,在過去12個月中(2021.7-2022.6)�����,他們通過漏洞獎勵計劃支付了1370萬美元(約9299萬元)獎金�����。
作為全球知名科技巨頭�����,微軟公司目前擁有17個漏洞獎勵計劃����,廣泛涵蓋服務、桌面應用程序與操作系統(tǒng)�����、機密級虛擬化解決方案等資產(chǎn)�����,甚至還專門為ElectionGuard開源軟件開發(fā)工具包(SDK)設置了相應項目。
如果能發(fā)現(xiàn)Hyper-V中的遠程代碼執(zhí)行�����、信息泄露或拒絕服務(DoS)之類的嚴重漏洞����,參與微軟漏洞獎勵計劃的安全研究人員最高可以拿到25萬美元的高額獎金。
事實上�����,微軟在2021年7月1日到2022年6月30日期間����,發(fā)出的最大單筆獎金達到20萬美元,獎勵的是Hyper-V虛擬機管理程序中的一個嚴重漏洞����。
在這12個月中,共有超過330名安全研究人員通過微軟漏洞獎勵計劃拿到了獎金�����,平均每個漏洞的獎金超過12000美元(約8.5萬元)。
圖:參與微軟漏洞獎勵計劃的研究人員地理分布
微軟公司表示�����,他們正根據(jù)研究人員的反饋改進現(xiàn)有漏洞獎勵計劃�����。今年�����,該公司還打算進一步引入新的研究挑戰(zhàn)和高影響攻擊場景����。
新增及更新內容將包括Azure SSRF挑戰(zhàn)賽����,Edge獎勵計劃納入Android與iOS平臺版本,將本地Exchange����、SharePoint及Skpye for Business納入多個漏洞獎勵計劃,并為Azure�����、M365、Dynamics 365以及Power Platform等獎勵計劃添加高影響攻擊場景�����。
微軟公司總結道����,“將這些攻擊場景引入Azure、Dynamics 365����、Power Platform以及M365獎勵計劃,將幫助我們把研究重點集中在影響最大的云漏洞上�����,具體涵蓋Azure Synapse Analytics�����、Key Vault及Azure Kubernetes服務等領域�����。”
參考資料:securityweek.com
