Microsoft zapłaci za błędy w Windows 8 i IE 11
- Antoni Steliński,
- 20.06.2013, godz. 16:05
Koncern z Redmond uruchomił program Mitigation Bypass Bounty, w ramach którego firma będzie płacić osobom, które znajdą (i zgłoszą) błędy w zabezpieczeniach systemu Windows 8 lub przeglądarki Internet Explorer 11. Maksymalna przewidziana kwota gratyfikacji za jedną lukę to 100 tys. USD.
Powyższa kwota może zostać wypłacona za zgłoszenie wyjątkowo poważnego błędu (wraz z pełną dokumentacją) w zabezpieczeniach Windows 8 - w przypadku IE 11 kwoty te mają być nieco niższa (od 500 do 11 tys. USD). W "cenniku" przewidziano również "bonus" w wysokości do 50 tys. USD (BlueHat Bonus for Defense), który może zostać wypłacony za dostarczenie kompletnego opisu sposobu, w jaki dana luka może zostać wykorzystana do obejścia nowych zabezpieczeń oprogramowania Microsoftu. Ostateczna wysokość kwoty ma w tym przypadku zależeć od skuteczności danej metody oraz jakości dokumentacji.
Każde zgłoszenie do Mitigation Bypass Bounty powinno zawierać exploita demonstrującego możliwość zdalnego, nieautoryzowanego uruchomienia kodu na koncie użytkownika i będącego nowatorską metodą obejścia zabezpieczeń, w które wyposażony jest Windows (chodzi tu m.in. o DEP - Data Execution Prevention - oraz ASLR - Address Space Layout Randomization). Przedstawiciele Microsoftu podkreślają, że decydującym kryterium jest innowacyjność metody ataku - rozwiązania wykorzystujące stare techniki obchodzenia zabezpieczeń Windows raczej nie będą brane pod uwagę.
Zobacz również:
- Microsoft i Quantinuum twierdzą, że otworzyły nowy rozdział w rozwoju komputerów kwantowych
- VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
- Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
Wiadomo już, że program zgłaszania błędów w Windows 8 będzie działał bezterminowo - ale w przypadku IE11 wyznaczono już datę jego zakończenia (program zostanie anulowany wraz z premierą finalnej wersji Internet Explorera 11 - stąd jego oficjalna nazwa: IE11 Preview Bug Bounty).
Warto podkreślić, że Microsoftowi zdarzało się już w przeszłości płacić specjalistom ds. bezpieczeństwa za wykrywanie błędów w swoich produktach - zwykle jednak następowało to w ramach jednorazowych projektów, konkursów itp. Mitigation Bypass Bounty jest pierwszym projektem koncernu, zakładającym stałe wypłacanie gratyfikacji za wykrywanie luk - Microsoft dołącza tym samym do Mozilli i Google'a, które nagrody za zgłaszanie błędów w swoich przeglądarkach wypłacają od lat.
Przedstawiciele koncernu podkreślają, że od dawna współpracują z ekspertami ds. bezpieczeństwa (w każdym biuletynie bezpieczeństwa firma wymienia odkrywcę danej luki) - jednak w ostatnich miesiącach zauważono, że coraz więcej błędów zgłaszanych jest nie przez samych specjalistów, lecz przez firmy i organizacje, które skupują takie informacje. Wydaje się więc, że nowo uruchomiony program ma być sposobem na zachęcenie badaczy do bezpośredniego komunikowania się z Microsoftem w sprawie błędów w oprogramowaniu.
Więcej informacji o programie znaleźć można na stronie Microsoftu.