信息來源:安全內(nèi)參
前情回顧·科技巨頭的安全戰(zhàn)略
安全內(nèi)參8月18日消息��,微軟官方宣布�,在過去12個月中(2021.7-2022.6),他們通過漏洞獎勵計劃支付了1370萬美元(約9299萬元)獎金��。
作為全球知名科技巨頭�,微軟公司目前擁有17個漏洞獎勵計劃,廣泛涵蓋服務、桌面應用程序與操作系統(tǒng)��、機密級虛擬化解決方案等資產(chǎn)�����,甚至還專門為ElectionGuard開源軟件開發(fā)工具包(SDK)設置了相應項目����。
如果能發(fā)現(xiàn)Hyper-V中的遠程代碼執(zhí)行、信息泄露或拒絕服務(DoS)之類的嚴重漏洞�����,參與微軟漏洞獎勵計劃的安全研究人員最高可以拿到25萬美元的高額獎金���。
事實上��,微軟在2021年7月1日到2022年6月30日期間�,發(fā)出的最大單筆獎金達到20萬美元��,獎勵的是Hyper-V虛擬機管理程序中的一個嚴重漏洞����。
在這12個月中���,共有超過330名安全研究人員通過微軟漏洞獎勵計劃拿到了獎金,平均每個漏洞的獎金超過12000美元(約8.5萬元)�����。
圖:參與微軟漏洞獎勵計劃的研究人員地理分布
微軟公司表示�����,他們正根據(jù)研究人員的反饋改進現(xiàn)有漏洞獎勵計劃�����。今年�����,該公司還打算進一步引入新的研究挑戰(zhàn)和高影響攻擊場景�。
新增及更新內(nèi)容將包括Azure SSRF挑戰(zhàn)賽����,Edge獎勵計劃納入Android與iOS平臺版本,將本地Exchange��、SharePoint及Skpye for Business納入多個漏洞獎勵計劃,并為Azure�����、M365���、Dynamics 365以及Power Platform等獎勵計劃添加高影響攻擊場景����。
微軟公司總結道���,“將這些攻擊場景引入Azure�、Dynamics 365���、Power Platform以及M365獎勵計劃��,將幫助我們把研究重點集中在影響最大的云漏洞上�����,具體涵蓋Azure Synapse Analytics�����、Key Vault及Azure Kubernetes服務等領域���?�!?
參考資料:securityweek.com
