微軟擴大bug賞金計劃以涵蓋任何Windows的缺陷

微軟發布了一個新的bug獎勵計劃，將會看到任何人在Windows中找到安全漏洞，有資格支付高達15,000美元。

自2013年以來，該公司一直在運行漏洞獎勵計劃，其中安全研究人員得到賞金回報，以發現和報告可利用的缺陷。當時，微軟為Internet Explorer11中的錯誤支付高達11,000美元。在此之後的幾年裏，微軟的豐富獎勵計劃已經擴大，具體的方案為那些在Hyper-V虛擬機管理程序中找到漏洞的項目提供了獎勵，Windows的廣泛的利用緩解係統如DEP和ASLR，以及Edge瀏覽器。

許多這些賞金計劃是有時間限製的，在beta /開發期間涵蓋軟件，但一旦釋放，結束。這種結構是在將漏洞分發給常規最終用戶之前，試圖吸引更多的審查。上個月，Edge獎勵計劃已經成為一項持續不斷的計劃，不再受任何特定的時間限製。

今天宣布的賞金計劃並不取代這些重點領域。Edge，Windows緩解技術，Hyper-V和Windows Defender App Guard都有自己專注的賞金方案。相反，它作為Windows 的其餘部分的全部。研究人員發現並報告Windows中具有高質量概念證明的遠程代碼執行缺陷，可以發現自己有資格獲得15,000美元的支付。提高特權可以產生10,000美元，甚至信息披露，拒絕服務和欺騙也可以產生高達$ 5,000的獎勵。

有針對性的方案可以更有利可圖。Hyper-V的一個完整漏洞，使惡意或攻擊者控製的虛擬機能夠使管理程序本身執行任意代碼，將產生高達25萬美元的支出。可以繞過全麵的利用減輕技術的漏洞可以賺取高達10萬美元。