微软又推出了一项悬赏计划,鼓励安全研究人员发现其软件产品中的漏洞和问题,并有可能获得巨额奖金。具有讽刺意味的是,这次的悬赏计划旨在帮助发现微软 Defender 系列安全产品中存在的问题。
在一篇博客文章中,微软表示:
微软 Defender 品牌包含各种产品和服务,旨在增强微软客户体验的安全性。微软卫士赏金计划邀请全球研究人员识别卫士产品和服务中的漏洞,并与我们的团队分享。卫士计划将从有限的范围开始,重点关注Microsoft Defender for Endpoint APIs,并将随着时间的推移扩展到卫士品牌的其他产品。
该公司在自己的专页上披露了赏金计划的更多细节。其中包括安全研究人员必须达到的标准,才有资格赢得漏洞悬赏奖金:
- 在所列范围内的 Defender 产品中发现以前未向微软报告或微软不知道的漏洞。
- 该漏洞必须是严重或重要级别,并可在最新的、已打补丁的产品或服务版本上重现。
- 包括清晰、简明和可重现的步骤,可以是书面形式,也可以是视频形式。
- 为我们的工程师提供必要的信息,以便快速重现、理解和修复问题。
与篡改、欺骗、信息泄露和权限提升相关的漏洞将获得实际的悬赏奖金。在这些领域成功发现微软 Defender 漏洞的价格将从 500 美元到 8,000 美元不等,具体取决于严重程度。
不过,悬赏金额最大的是发现 Defender 中与远程代码执行相关问题的研究人员。这类问题的奖励金额从 5,000 美元到 20,000 美元不等。
10 月份,微软宣布了一项悬赏计划,以帮助发现与必应人工智能服务相关的漏洞,最高奖励可达 15,000 美元。