Microsoft заплатит до 30 тысяч долларов за найденные баги

29.08.2019      10085

Microsoft повышает качество своих браузеров и готова платить за помощь в этом. Корпорация запустила программу по поиску уязвимостей в браузере Microsoft Edge. Найденный уникальный баг принесет участникам акции до 30 тыс. долларов.

Никаких специальных требований к тестировщикам нет: к участию допускаются люди по всему миру, дипломы и сертификаты необязательны.

Чем Microsoft Edge отличается от Google Chrome

Браузеры построены на одном движке – Chromium. Но Microsoft внедрила в свой браузер ряд особых функций. Вот лишь несколько примеров:

  • режим Internet Explorer для поддержки сайтов, созданных для устаревшего браузера;
  • PlayReady DRM: возможность показывать мультимедийный контент, защищенный технологией PlayReady DRM (в дополнение к WideVine DRM, который также поддерживается Google Chrome).
  • вход с использованием учетной записи Microsoft или Azure Active Directory, а также синхронизация между устройствами, на которых используется один аккаунт.

От чего зависит размер вознаграждения

Специалисты Microsoft определят размер награды в зависимости от того, насколько серьезна уязвимость. Самые «дорогостоящие» баги – возможность превышения полномочий аккаунта (EoP) и одновременный выход из защищенного контейнера WDAG. Награда за них – до 30 тыс. долларов. 

Превышение полномочий аккаунта может принести от 8 до 15 тыс. долларов. Удаленное выполнение кода (RCE) оценивается в 5-10 тыс. долларов, как и раскрытие пользовательской информации. За обход функции безопасности фиксированной награды нет. Все зависит от последствий проблемы. 

Слишком простая идентификация или устаревшая библиотека – не уязвимости, а значит, не могут претендовать на награду. За подмену или подделку данных, как и за отказ в обслуживании не заплатят ничего. Это не соответствует описанным в требованиях категориям серьезности проблем.

Как оформить заявку

В заявке на участие в поиске багов нужно учитывать важные моменты:

  • проблема должна быть уникальной для браузера Microsoft Edge на основе Chromium в каналах Beta или Dev; 
  • найденная уязвимость не должна дублироваться в аналогичном канале Google Chrome;
  • найденную уязвимость можно воспроизвести в последней версии Microsoft Edge и новейшей, полностью пропатченной версии Windows (включая Windows 10, Windows 7 SP1 или Windows 8.1) или MacOS на момент отправки заявки;
  • в заявке нужно указать номер версии Microsoft Edge, использованный для воспроизведения уязвимости. Например, версия 77.0.188.0 (официальная сборка) dev (64-разрядная), и номер версии Chrome, в которой она не воспроизводится; 
  • к заявке нужно приложить шаги воспроизведения проблемы – описание или видео;
  • отправлять заявки нужно на портал Microsoft.

Если несколько тестировщиков обнаружат одинаковую проблему, награда за описание уязвимости достанется автору первой заявки. Но если в новом отчете будет дополнительная информация, Microsoft отправит частичную компенсацию. 

Подробнее об условиях участия и примеры описания уязвимостей

Автор:
Обозреватель


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Brawler 438 29.08.19 12:55 Сейчас в теме
Каждый день буквально нахожу баги в платформе 1С и типовых конфигурациях, особенно в ERP и чет еще не разбогател(((
1С, вы когда копеечкой руки золотить будете?
LynxX; ccserg; Krio2; товарищ Ын; ZhokhovM; protexprotex; Romakon92; 3vs; zhuntovda; +9 Ответить
2. zhuntovda 1 29.08.19 13:06 Сейчас в теме
(1) Да на ERP можно было бы разбогатеть)
7. Evil Beaver 7738 29.08.19 14:53 Сейчас в теме
(2) Думаю, не раньше первого опубликованного слива финансовой или персональной информации из базы ERP по удаленному каналу, виной которого станет уязвимость платформы и/или ЕРП.
3. VmvLer 29.08.19 13:23 Сейчас в теме
(1) Это кормушка для франчей - ходить по клиентам и ставить патчи которых могло бы и не быть.
Знаменосцев флагов 1С надо кормить - поэтому в конфигурациях плодят "ошибки".
6. protexprotex 136 29.08.19 14:20 Сейчас в теме
(1) Разорите еще 1С. Или 1С придумает новую подписку на ИТС - типа оплата наемным программерам за поиск багов 1С :-)
4. user771650 29.08.19 13:25 Сейчас в теме
этот браузер - сам по себе бааальшой баг)))
sertak; Brawler; +2 Ответить
5. Brawler 438 29.08.19 13:37 Сейчас в теме
(4) поддержу в части именно движка Chromium
Оставьте свое сообщение

См. также

GitHub опубликовал статистику по языкам и проектам за 2022 год

Новость ИТ-новость Языки программирования Разработка

В статистическом отчете репозитория названы самые популярные языки программирования среди пользователей платформы, а также данные об активности аудитории сервиса.

01.12.2022    1310    VKuser24342747    11       

Инспекторы смогут проводить дистанционные проверки через смартфон

Новость ИТ-новость Мобильные приложения

Минэкономразвития представило мобильное приложение, которое позволит осуществлять надзорные мероприятия бизнеса без посещения офиса. Программа работает через Госуслуги.

28.11.2022    1218    VKuser24342747    0       

«Яндекс» представил бесплатный сервис для быстрого поиска в облаке

Новость ИТ-новость Облачные технологии

Сервис Managed Service for OpenSearch от платформы Yandex Cloud предназначен для оптимизации поисковых систем и проверки стабильности и безопасности работы приложений. Услуга доступа в режиме Public Preview.

24.11.2022    1502    VKuser24342747    1       

В декабре начнут действовать новые правила регистрации доменов .RU и .РФ

Новость ИТ-новость Роскомнадзор

С 12 декабря Роскомнадзор получит право прекращать делегирование домена, если он оформлен нелегально, или на сайте содержится запрещенная в России информация.

23.11.2022    1221    VKuser24342747    1       

Stack Overflow запустил проект для оффлайн-доступа к форуму

Новость ИТ-новость Разработка

Проект под названием Overflow Offline позволяет скачать актуальную версию архива вопросов и ответов по разработке ПО. По объему данных база форума уступает только «Википедии».

02.11.2022    1189    VKuser24342747    1       

Минцифры запустило магазин российского ПО из реестра ИТ-решений

Новость Импортозамещение ИТ-новость

Маркетплейс «Руссофт» стал доступен для всех пользователей. С его помощью можно подобрать программы от отечественных разработчиков для решения корпоративных задач бизнеса.

21.10.2022    1660    VKuser24342747    4       

В ноябре начнется создание российского государственного аналога GitHub

Новость ИТ-новость

Правительство озвучило дату запуска эксперимента по разработке отечественного репозитория ПО. Исходники программ, в том числе разработанных для госорганов, будут публиковаться в нем под открытой лицензией.

19.10.2022    2405    VKuser24342747    14       

OpenAI опубликовала код системы распознавания речи Whisper

Новость Искусственный интеллект ИТ-новость

OpenAI открыла исходный код эталонной реализации на базе фреймворка PyTorch и набор уже обученных моделей для использования под лицензией MIT. Нейросеть используется для перевода речи в текст.

28.09.2022    2713    VKuser24342747    0       

Вторая версия среды разработки для плат Arduino вышла из бета-теста

Новость ИТ-новость Микроэлектроника

Arduino IDE 2.0 получила стабильную версию, в которой появилась поддержка автодополнения кода и темная тема. Разработка заняла несколько лет. Программа распространяется бесплатно.

23.09.2022    2684    VKuser24342747    0       

Основатель движения свободного ПО выпустил руководство по языку C

Новость Linux ИТ-новость Языки программирования

Ричард Мэттью Столлман, основатель Фонда свободного программного обеспечения, представил руководство по языку C и расширениям GNU. Пособие доступно всем желающим и предназначено как для опытных, так и начинающих программистов.

19.09.2022    2275    VKuser24342747    0       

«Ростелеком» предложил создать национальную экосистему на базе «Авроры»

Новость Импортозамещение ИТ-новость Мобильные приложения

Провайдер считает, что государственная мобильная экосистема поможет обеспечить технологическую независимость и экономический подъем страны. А ОС «Аврора» наиболее перспективная разработка для достижения этих целей.

15.09.2022    2175    VKuser24342747    5       

Яндекс выложил в открытый доступ инструмент для разработки мобильных приложений

Новость ИТ-новость Мобильные приложения Яндекс

Фреймворк DivKit от Яндекса стал доступен как open source решение. Инструмент позволяет менять интерфейс приложений без скачивания обновлений и значительно ускоряет мобильную разработку.

02.09.2022    1884    VKuser24342747    0       

Группа компаний «Астра» представила собственную мобильную ОС

Новость Linux ИТ-новость Мобильные приложения

Доработанная ОС Astra Linux Special Edition может быть запущена на большом числе мобильных устройств, в том числе на планшетах и смартфонах с процессорами на архитектурах ARM, «Эльбрус» и x86-64.

25.08.2022    1521    VKuser24342747    1       

В России разработаны меры для решения проблемы нехватки ИТ-специалистов

Новость ИТ-новость

Вице-премьер Дмитрий Чернышенко сообщил, что сейчас экономике страны не хватает 1 млн ИТ-специалистов. Способы преодоления дефицита закреплены в программе нацпроекта «Цифровая экономика»

05.08.2022    1667    VKuser24342747    11       

Яндекс открыл доступ к фреймворку для создания приложений с микросервисной архитектурой

Новость GitHub ИТ-новость Яндекс

Инструмент Userver опубликован как бесплатное open source решение. Яндекс уже несколько лет эффективно его использует в своих приложениях Go, «Еда», «Лавка», «Доставка» и другие. Фреймворк находится в стадии бета – переезда на открытую разработку.

02.08.2022    2527    VKuser24342747    19       

Бизнес сможет использовать повышающий коэффициент для расходов на покупку ПО

Новость ИТ-новость

Принят закон, который позволяет компаниям учитывать расходы на отечественные программы и радиоэлектронное оборудование с коэффициентом 1,5. Решения должны быть включены в соответствующие реестры и относиться к ИИ.

26.07.2022    2299    VKuser24342747    0       

Минэкономразвития тестирует миграцию с Windows 10 на Astra Linux

Новость ИТ-новость

Министерство проводит эксперимент, в ходе которого сотрудники используют российскую ОС Astra Linux вместо Windows 10. По словам главы департамента, эксперимент проходит успешно.

11.07.2022    1851    VKuser24342747    0       

Вышла версия открытого текстового редактора Vim 9.0

Новость ИТ-новость

В приложение добавлен скриптовый язык с поддержкой компилируемых функций для создания плагинов, улучшена проверка правописания и автодополнения, предоставлен выбор цветовых схем.

07.07.2022    2015    VKuser24342747    0       

 «Яндекс» открыл доступ к SmartCaptcha и нейросети по генерации текстов 

Новость ИТ-новость Яндекс

Компания открыла доступ к алгоритму SmartCaptcha, который защищает сайт от спама и DDoS-атак, а также к проекту YaLM 100B, способному писать тексты на английском и русском языках. 

29.06.2022    2276    VKuser24342747    0       

«Яндекс» предложил разработчикам пройти диагностику технических навыков

Новость Кадровые агентства, подбор персонала ИТ-новость Яндекс

Компания запустила сервис, при помощи которого можно получить оценку своих технических навыков от специалистов «Яндекса». Тестирование включает онлайн-интервью и решение задач с реальных собеседований. 

27.06.2022    2200    VKuser24342747    1       

GitHub открыл доступ всем разработчикам к ИИ-помощнику Copilot по подписке

Новость GitHub Искусственный интеллект ИТ-новость

Github Copilot стал общедоступным, но для его использования пользователю репозитория нужно приобрести подписку. Хотя некоторые разработчики могут пользоваться инструментом бесплатно.

24.06.2022    3917    VKuser24342747    1       

В России планируют учредить Федерацию спортивного программирования

Новость ИТ-новость

Минцифры и Минспорта подписали меморандум, в котором закреплено сотрудничество ведомств по развитию в стране спортивного программирования и проведение первого официального чемпионата.

21.06.2022    2775    VKuser24342747    6       

Microsoft окончательно прекратила поддержку Internet Explorer

Новость Интернет ИТ-новость

Microsoft прекратила выпуск обновлений для своего браузера Internet Explorer, а с августа начнет удалять приложение из актуальных версий Windows. Эксперты полагают, что из-за этого пострадает много бизнес-пользователей.

17.06.2022    3279    VKuser24342747    4       

В России начал работу отечественный сервис мониторинга сбоев

Новость Импортозамещение Интернет ИТ-новость

Российская компания BrandAnalytics запустила платформу «Детектор сбоев», предназначенную для отслеживания работоспособности сайтов и сервисов, в том числе русскоязычных.

16.06.2022    2130    VKuser24342747    0       

Минцифры запустило систему отслеживания поддельных сайтов

Новость Безопасность Интернет ИТ-новость

Информационная система под названием «Антифишинг» способна обнаруживать мошеннические веб-ресурсы, которые выглядят как официальные сайты госорганов, компаний и соцсетей.

14.06.2022    2977    VKuser24342747    0