Возврат к списку

Microsoft заплатит до 30 тысяч долларов за найденные баги

29.08.2019     

Microsoft повышает качество своих браузеров и готова платить за помощь в этом. Корпорация запустила программу по поиску уязвимостей в браузере Microsoft Edge. Найденный уникальный баг принесет участникам акции до 30 тыс. долларов.

Никаких специальных требований к тестировщикам нет: к участию допускаются люди по всему миру, дипломы и сертификаты необязательны.

Чем Microsoft Edge отличается от Google Chrome

Браузеры построены на одном движке – Chromium. Но Microsoft внедрила в свой браузер ряд особых функций. Вот лишь несколько примеров:

  • режим Internet Explorer для поддержки сайтов, созданных для устаревшего браузера;
  • PlayReady DRM: возможность показывать мультимедийный контент, защищенный технологией PlayReady DRM (в дополнение к WideVine DRM, который также поддерживается Google Chrome).
  • вход с использованием учетной записи Microsoft или Azure Active Directory, а также синхронизация между устройствами, на которых используется один аккаунт.

От чего зависит размер вознаграждения

Специалисты Microsoft определят размер награды в зависимости от того, насколько серьезна уязвимость. Самые «дорогостоящие» баги – возможность превышения полномочий аккаунта (EoP) и одновременный выход из защищенного контейнера WDAG. Награда за них – до 30 тыс. долларов. 

Превышение полномочий аккаунта может принести от 8 до 15 тыс. долларов. Удаленное выполнение кода (RCE) оценивается в 5-10 тыс. долларов, как и раскрытие пользовательской информации. За обход функции безопасности фиксированной награды нет. Все зависит от последствий проблемы. 

Слишком простая идентификация или устаревшая библиотека – не уязвимости, а значит, не могут претендовать на награду. За подмену или подделку данных, как и за отказ в обслуживании не заплатят ничего. Это не соответствует описанным в требованиях категориям серьезности проблем.

Как оформить заявку

В заявке на участие в поиске багов нужно учитывать важные моменты:

  • проблема должна быть уникальной для браузера Microsoft Edge на основе Chromium в каналах Beta или Dev; 
  • найденная уязвимость не должна дублироваться в аналогичном канале Google Chrome;
  • найденную уязвимость можно воспроизвести в последней версии Microsoft Edge и новейшей, полностью пропатченной версии Windows (включая Windows 10, Windows 7 SP1 или Windows 8.1) или MacOS на момент отправки заявки;
  • в заявке нужно указать номер версии Microsoft Edge, использованный для воспроизведения уязвимости. Например, версия 77.0.188.0 (официальная сборка) dev (64-разрядная), и номер версии Chrome, в которой она не воспроизводится; 
  • к заявке нужно приложить шаги воспроизведения проблемы – описание или видео;
  • отправлять заявки нужно на портал Microsoft.

Если несколько тестировщиков обнаружат одинаковую проблему, награда за описание уязвимости достанется автору первой заявки. Но если в новом отчете будет дополнительная информация, Microsoft отправит частичную компенсацию. 

Подробнее об условиях участия и примеры описания уязвимостей

Автор:
Ксения Шестакова Обозреватель


Комментарии
Избранное Подписка Сортировка: Древо
1. Brawler 446 29.08.19 12:55 Сейчас в теме
Каждый день буквально нахожу баги в платформе 1С и типовых конфигурациях, особенно в ERP и чет еще не разбогател(((
1С, вы когда копеечкой руки золотить будете?
LynxX; ccserg; Krio2; товарищ Ын; ZhokhovM; protexprotex; Romakon92; 3vs; zhuntovda; +9 Ответить
2. zhuntovda 29.08.19 13:06 Сейчас в теме
(1) Да на ERP можно было бы разбогатеть)
7. Evil Beaver 6244 29.08.19 14:53 Сейчас в теме
(2) Думаю, не раньше первого опубликованного слива финансовой или персональной информации из базы ERP по удаленному каналу, виной которого станет уязвимость платформы и/или ЕРП.
3. VmvLer 29.08.19 13:23 Сейчас в теме
(1) Это кормушка для франчей - ходить по клиентам и ставить патчи которых могло бы и не быть.
Знаменосцев флагов 1С надо кормить - поэтому в конфигурациях плодят "ошибки".
6. protexprotex 172 29.08.19 14:20 Сейчас в теме
(1) Разорите еще 1С. Или 1С придумает новую подписку на ИТС - типа оплата наемным программерам за поиск багов 1С :-)
4. user771650 29.08.19 13:25 Сейчас в теме
этот браузер - сам по себе бааальшой баг)))
sertak; Brawler; +2 Ответить
5. Brawler 446 29.08.19 13:37 Сейчас в теме
(4) поддержу в части именно движка Chromium
Оставьте свое сообщение