Microsoft заплатит до 30 тысяч долларов за найденные баги

29.08.2019     

Microsoft повышает качество своих браузеров и готова платить за помощь в этом. Корпорация запустила программу по поиску уязвимостей в браузере Microsoft Edge. Найденный уникальный баг принесет участникам акции до 30 тыс. долларов.

Никаких специальных требований к тестировщикам нет: к участию допускаются люди по всему миру, дипломы и сертификаты необязательны.

Чем Microsoft Edge отличается от Google Chrome

Браузеры построены на одном движке – Chromium. Но Microsoft внедрила в свой браузер ряд особых функций. Вот лишь несколько примеров:

  • режим Internet Explorer для поддержки сайтов, созданных для устаревшего браузера;
  • PlayReady DRM: возможность показывать мультимедийный контент, защищенный технологией PlayReady DRM (в дополнение к WideVine DRM, который также поддерживается Google Chrome).
  • вход с использованием учетной записи Microsoft или Azure Active Directory, а также синхронизация между устройствами, на которых используется один аккаунт.

От чего зависит размер вознаграждения

Специалисты Microsoft определят размер награды в зависимости от того, насколько серьезна уязвимость. Самые «дорогостоящие» баги – возможность превышения полномочий аккаунта (EoP) и одновременный выход из защищенного контейнера WDAG. Награда за них – до 30 тыс. долларов. 

Превышение полномочий аккаунта может принести от 8 до 15 тыс. долларов. Удаленное выполнение кода (RCE) оценивается в 5-10 тыс. долларов, как и раскрытие пользовательской информации. За обход функции безопасности фиксированной награды нет. Все зависит от последствий проблемы. 

Слишком простая идентификация или устаревшая библиотека – не уязвимости, а значит, не могут претендовать на награду. За подмену или подделку данных, как и за отказ в обслуживании не заплатят ничего. Это не соответствует описанным в требованиях категориям серьезности проблем.

Как оформить заявку

В заявке на участие в поиске багов нужно учитывать важные моменты:

  • проблема должна быть уникальной для браузера Microsoft Edge на основе Chromium в каналах Beta или Dev; 
  • найденная уязвимость не должна дублироваться в аналогичном канале Google Chrome;
  • найденную уязвимость можно воспроизвести в последней версии Microsoft Edge и новейшей, полностью пропатченной версии Windows (включая Windows 10, Windows 7 SP1 или Windows 8.1) или MacOS на момент отправки заявки;
  • в заявке нужно указать номер версии Microsoft Edge, использованный для воспроизведения уязвимости. Например, версия 77.0.188.0 (официальная сборка) dev (64-разрядная), и номер версии Chrome, в которой она не воспроизводится; 
  • к заявке нужно приложить шаги воспроизведения проблемы – описание или видео;
  • отправлять заявки нужно на портал Microsoft.

Если несколько тестировщиков обнаружат одинаковую проблему, награда за описание уязвимости достанется автору первой заявки. Но если в новом отчете будет дополнительная информация, Microsoft отправит частичную компенсацию. 

Подробнее об условиях участия и примеры описания уязвимостей

Автор:
Ксения Шестакова Обозреватель


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Brawler 480 29.08.19 12:55 Сейчас в теме
Каждый день буквально нахожу баги в платформе 1С и типовых конфигурациях, особенно в ERP и чет еще не разбогател(((
1С, вы когда копеечкой руки золотить будете?
LynxX; ccserg; Krio2; товарищ Ын; ZhokhovM; protexprotex; Romakon92; 3vs; zhuntovda; +9 Ответить
2. zhuntovda 29.08.19 13:06 Сейчас в теме
(1) Да на ERP можно было бы разбогатеть)
7. Evil Beaver 7041 29.08.19 14:53 Сейчас в теме
(2) Думаю, не раньше первого опубликованного слива финансовой или персональной информации из базы ERP по удаленному каналу, виной которого станет уязвимость платформы и/или ЕРП.
3. VmvLer 29.08.19 13:23 Сейчас в теме
(1) Это кормушка для франчей - ходить по клиентам и ставить патчи которых могло бы и не быть.
Знаменосцев флагов 1С надо кормить - поэтому в конфигурациях плодят "ошибки".
6. protexprotex 130 29.08.19 14:20 Сейчас в теме
(1) Разорите еще 1С. Или 1С придумает новую подписку на ИТС - типа оплата наемным программерам за поиск багов 1С :-)
4. user771650 29.08.19 13:25 Сейчас в теме
этот браузер - сам по себе бааальшой баг)))
sertak; Brawler; +2 Ответить
5. Brawler 480 29.08.19 13:37 Сейчас в теме
(4) поддержу в части именно движка Chromium
Оставьте свое сообщение

См. также

Visual Studio Code стал поддерживать работу с удаленными репозиториями без клонирования

Новость GitHub ИТ-новость

Открытая среда разработки Visual Studio Code теперь позволяет работать с удаленными репозиториями GitHub напрямую. Для этого появилось специальное расширение Remote Repositories.

вчера в 14:44    1201    user1015646    0       

Платформа Yandex.Cloud прошла добровольную аттестацию на соответствие требованиям 152‑ФЗ

Новость Безопасность ИТ-новость Яндекс

В апреле 2021 года платформа Yandex.Cloud прошла внешний аудит. Теперь клиенты сервиса могут обрабатывать в облаке любые категории персональных данных, включая биометрические и специальные.

11.06.2021    1189    capitan    1       

Google I/O 2021: главные анонсы конференции для разработчиков

Новость Android Google ИТ-новость Мобильные приложения Новости компаний

Начало лета богато на конференции для разработчиков программного обеспечения. Одно из крупнейших событий международного уровня – Google I/O 2021. В этом году оно прошло в онлайн-формате и принесло больше анонсов, чем обычно.

11.06.2021    1359    user1015646    0       

«Яндекс» внедрил генеративную нейросеть для поиска ответов

Новость Искусственный интеллект ИТ-новость Яндекс

«Яндекс» представил новую версию своего поисковика Y1. В числе прочих изменений – использование машинного обучения для генерации подзаголовков объектных ответов и классификации сниппетов. 

11.06.2021    1227    VKuser24342747    0       

Microsoft выложила сборку OpenJDK в открытый доступ

Новость ИТ-новость Новости компаний Языки программирования

Сборка проекта OpenJDK, подготовленная специалистами Microsoft, теперь доступна всем желающим. Решение с открытым исходным кодом можно загрузить в традиционном формате и в Docker-контейнере.

10.06.2021    1265    user1015646    0       

Составлен список из 10 самых полезных репозиториев GitHub

Новость GitHub ИТ-новость

Яш Тивари, специалист по обучению начинающих разработчиков, опубликовал подборку важных репозиториев GitHub. Их изучение поможет развить навыки программирования и пройти собеседование в крупную ИТ-компанию.

10.06.2021    1475    VKuser24342747    0       

Российские компании совместно с Gigabyte наладят выпуск серверного оборудования

Новость ИТ-новость

«Яндекс», «Ланит», «ВТБ» и Gigabyte договорились о создании завода по выпуску серверов и компонентов на территории России. Фабрика может начать выпускать продукцию уже в 2022 году.

10.06.2021    1151    VKuser24342747    0       

Консорциум Всемирной паутины создал комитет по развитию WebExtensions

Новость Интернет ИТ-новость

Организация Консорциум Всемирной паутины W3C создала WebExtensions Community Group (WECG) для разработки единых стандартов браузерных расширений. В комитет вошли представители крупных ИТ-компаний.

09.06.2021    970    VKuser24342747    0       

Google разработал сервис для наглядного отслеживания зависимостей проекта

Новость Google ИТ-новость

Инструмент Open Source Insights позволяет визуализировать граф зависимостей для пакетов. Благодаря сервису можно своевременно обнаруживать проблемы с безопасностью модулей.

09.06.2021    1458    VKuser24342747    0       

10 лучших языков программирования в 2021 году по версии InformationWeek

Новость ИТ-новость Языки программирования

Журнал InformationWeek выпустил топ языков программирования, востребованных среди корпоративных ИТ. Рейтинг составлен на основе нескольких источников сбора и анализа данных. В рейтинг InformationWeek попало десять языков программирования.

08.06.2021    1338    SKravchenko    0       

«Яндекс» разрешил пользователям удалять данные о себе

Новость ИТ-новость Яндекс

«Яндекс» открыл доступ к инструменту просмотра и удаления сведений, накопленных организацией о пользователе. Поддерживаются не все сервисы, но компания обещает постепенно расширять список.

07.06.2021    1672    VKuser24342747    0       

Компания Virtuozzo бесплатно раздает дистрибутив vzLinux на замену CentOS

Новость Linux ИТ-новость

Операционная система может стать полноценной заменой CentOS, который перестанет поддерживаться с конца 2021 года. Разработала ОС компания с российскими корнями.

03.06.2021    2619    VKuser24342747    0       

«Яндекс» предоставит бизнесу доступ к сервису обогащенных ответов

Новость Интернет ИТ-новость Яндекс

Сторонние компании смогут создавать блоки для дополнительной информации о своем сайте, которая будет ранжироваться в поисковой выдаче. Таким образом «Яндекс» устраняет нарушения, обнаруженные ФАС.

03.06.2021    1834    VKuser24342747    1       

Google официально выпускает ОС Fuchsia для умных дисплеев Nest Hub

Новость Android Google ИТ-новость Мобильные приложения

Google сообщил, что обновление коснется владельцев первого поколения Nest Hub. Новая ОС Fuchsia заменит существующее программное обеспечение на основе Cast OS.

02.06.2021    1576    SKravchenko    0       

В Amazon Web Services добавили новую систему запуска и управления контейнерами

Новость Дата-центры ИТ-новость Новости компаний

Компания Amazon открыла общий доступ к ECS Anywhere. Это расширение ECS (Elastic Container Service) для управления контейнеризированными приложениями. Оно обеспечивает быстрое развертывание AWS-приложений в любой вычислительной среде.

02.06.2021    1910    user1015646    1       

Microsoft представила релизную версию менеджера пакетов winget

Новость Windows Автоматизация ИТ-новость

В Windows 10 в ближайшем обновлении будет добавлена утилита Windows Package Manager 1.0. Она позволяет управлять пакетами на устройстве, обновлять их и копировать настройки на новый компьютер.

01.06.2021    2883    VKuser24342747    0       

Microsoft добавила в Teams презентации, вебинары и приложения

Новость ИТ-новость Новости компаний

Microsoft открыл бесплатный доступ к вебинарам и презентациям PowerPoint Live в сервисе Teams. Также на ежегодной конференции Build компания рассказала о возможностях создания приложений на базе мессенджера.

31.05.2021    1338    user1015646    0       

Microsoft разработала систему автодополения кода на базе нейросети GPT-3

Новость Искусственный интеллект ИТ-новость Новости компаний Языки программирования

Платформа Microsoft Power Apps получила функцию автоматической генерации кода на языке Power Fx. Пользователю достаточно словами описать команду, и программа выдаст подходящую формулу.

28.05.2021    1574    VKuser24342747    0       

Энтузиаст создал дистрибутив Linux для записи на дискету

Новость Linux ИТ-новость

Польский разработчик Кшиштоф Кристиан Янковски сделал дистрибутив Floppinux, который помещается на 3,5-дюймовую дискету. Современная операционная система работает на любых компьютерах старше 1989 года.

27.05.2021    1971    VKuser24342747    5       

В России создадут госстандарт для ИИ

Новость Искусственный интеллект ИТ-новость

Российские власти предлагают утвердить ГОСТ для разработок в сфере искусственного интеллекта. В Росстандарте уверены: ГОСТы ускорят развитие инноваций и добросовестной конкуренции в сфере ИИ.

27.05.2021    3199    user1015646    5       

Разработчики Sublime Text представили версию приложения 4.0

Новость ИТ-новость

В обновлении Sublime Text улучшен интерфейс текстового редактора, добавлена поддержка новых языков программирования, доработан механизм автодополнения и внесены изменения в условия лицензирования.

27.05.2021    1574    VKuser24342747    0       

Создан свободный эмулятор для запуска Linux-приложений на macOS

Новость Linux Mac OS GitHub ИТ-новость

Бесплатная программа Lima получила первую публичную версию 0.1.0. При разработке проекта авторы вдохновлялись аналогичной технологией от Microsoft, которая позволяет запускать приложения Linux в Windows 10.

26.05.2021    3703    VKuser24342747    1       

Ничего лишнего: Facebook научил нейросеть забывать устаревшие данные

Новость Искусственный интеллект ИТ-новость

Социальная сеть разработала новый способ хранения данных, используемых для машинного обучения. Благодаря методу нейросеть сможет периодически избавляться от ненужных сведений.

25.05.2021    1617    VKuser24342747    0       

GitLab ужесточил правила использования CI/CD для борьбы с майнерами

Новость Автоматизация Безопасность ИТ-новость

GitLab продолжает препятствовать майнингу криптовалют на своих серверах. После ограничений на бесплатное использование сервисов непрерывной интеграции репозиторий начнет требовать данные банковской карты для доступа.

25.05.2021    2375    VKuser24342747    0       

«Сбер» объявил о создании российского аналога GitHub

Новость GitHub Банки ИТ-новость Цифровая экономика

«Сбер» снял ограничение, которое позволяло использовать ИТ-сервисы компании только корпоративным клиентам, и открыл доступ всем желающим к своим облачным сервисам.

24.05.2021    2887    VKuser24342747    4