Powyższa kwota może zostać wypłacona za zgłoszenie wyjątkowo poważnego błędu (wraz z pełną dokumentacją) w zabezpieczeniach Windows 8 - w przypadku IE 11 kwoty te mają być nieco niższa (od 500 do 11 tys. USD). W "cenniku" przewidziano również "bonus" w wysokości do 50 tys. USD (BlueHat Bonus for Defense), który może zostać wypłacony za dostarczenie kompletnego opisu sposobu, w jaki dana luka może zostać wykorzystana do obejścia nowych zabezpieczeń oprogramowania Microsoftu. Ostateczna wysokość kwoty ma w tym przypadku zależeć od skuteczności danej metody oraz jakości dokumentacji.

Każde zgłoszenie do Mitigation Bypass Bounty powinno zawierać exploita demonstrującego możliwość zdalnego, nieautoryzowanego uruchomienia kodu na koncie użytkownika i będącego nowatorską metodą obejścia zabezpieczeń, w które wyposażony jest Windows (chodzi tu m.in. o DEP - Data Execution Prevention - oraz ASLR - Address Space Layout Randomization). Przedstawiciele Microsoftu podkreślają, że decydującym kryterium jest innowacyjność metody ataku - rozwiązania wykorzystujące stare techniki obchodzenia zabezpieczeń Windows raczej nie będą brane pod uwagę.

Zobacz również:

• Microsoft i Quantinuum twierdzą, że otworzyły nowy rozdział w rozwoju komputerów kwantowych
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC

Wiadomo już, że program zgłaszania błędów w Windows 8 będzie działał bezterminowo - ale w przypadku IE11 wyznaczono już datę jego zakończenia (program zostanie anulowany wraz z premierą finalnej wersji Internet Explorera 11 - stąd jego oficjalna nazwa: IE11 Preview Bug Bounty).

Warto podkreślić, że Microsoftowi zdarzało się już w przeszłości płacić specjalistom ds. bezpieczeństwa za wykrywanie błędów w swoich produktach - zwykle jednak następowało to w ramach jednorazowych projektów, konkursów itp. Mitigation Bypass Bounty jest pierwszym projektem koncernu, zakładającym stałe wypłacanie gratyfikacji za wykrywanie luk - Microsoft dołącza tym samym do Mozilli i Google'a, które nagrody za zgłaszanie błędów w swoich przeglądarkach wypłacają od lat.

Przedstawiciele koncernu podkreślają, że od dawna współpracują z ekspertami ds. bezpieczeństwa (w każdym biuletynie bezpieczeństwa firma wymienia odkrywcę danej luki) - jednak w ostatnich miesiącach zauważono, że coraz więcej błędów zgłaszanych jest nie przez samych specjalistów, lecz przez firmy i organizacje, które skupują takie informacje. Wydaje się więc, że nowo uruchomiony program ma być sposobem na zachęcenie badaczy do bezpośredniego komunikowania się z Microsoftem w sprawie błędów w oprogramowaniu.

Więcej informacji o programie znaleźć można na stronie Microsoftu.