مایکروسافت در برنامه‌ی جدید پاداش در ازای اشکال خود، ۱۰۰ هزار دلار پرداخت می‌کند

مایکروسافت در برنامه‌ی جدید پاداش در ازای اشکال خود، ۱۰۰ هزار دلار پرداخت می‌کند

یکشنبه, ۳۱ تیر, ۱۳۹۷ ساعت ۱۹:۳۳

 

مایکروسافت روز سه‌شنبه اعلام کرد که در برنامه‌ی جدید پاداش در ازای اشکال خود، به محققانی که آسیب‌پذیری‌های جدی موجود در سرویس‌های مختلف شناسایی این شرکت را کشف کنند، ۱۰۰ هزار دلار پرداخت خواهد کرد.


نفوذگران کلاه سفید درصورت کشف آسیب‌پذیری‌های سرویس‌های شناسایی مایکروسافت، نقص‌های سرقت حساب‌های کاربری مایکروسافت و Azure Active Directory، آسیب‌پذیری‌های استانداردهای OpenID یا OAuth 2.0 و یا ضعف‌های موجود در برنامه‌های احراز هویت  مایکروسافت برای iOS و اندروید، می‌توانند پاداشی به مبلغ ۵۰۰ تا ۱۰۰ هزار دلار دریافت کنند.


دامنه‌هایی که تحت پوشش این برنامه‌ی جدید پاداش در ازای اشکال قرار دارند، عبارتند از؛ login.windows.net، login.microsoftonline.com، login.live.com، account.live.com، account.windowsazure.com، account.activedirectory.windowsazure.com، credential.activedirectory.windowsazure.com، portal.office.com و passwordreset.microsoftonline.com.


بیشترین پاداش برای ارسال راه‌هایی برای دور زدن احراز هویت چند عاملی یا طراحی آسیب‌پذیری‌هایی در استانداردهای احراز هویت استفاده شده توسط مایکروسافت پرداخت می‌شود. نفوذگرانی که نقص‌های موجود در اجرای OpenID و OAuth را کشف کنند، ۷۵ هزار دلار پاداش دریافت خواهند کرد. کمترین پاداش‌ها برای کشف آسیب‌پذیری‌های XSS (10 هزار دلار)، احراز هویت (۸ هزار دلار) و افشای داده‌های حساس (۵ هزار دلار) پرداخت می‌شود.


مایکروسافت در مورد برنامه‌ی جدید خود توضیح می‌دهد: «یک گزارش باکیفیت، اطلاعات لازم برای بازسازی ، درک و وصله کردن یک اشکال را برای مهندس ارائه می‌کند. این گزارش معمولا شامل نوشته‌ای مختصر درمورد اطلاعات اولیه‌ی مورد نیاز، توصیف اشکال و اثبات مفهومی می‌باشد. ما متوجه شدیم که بازسازی و درک برخی از آسیب‌پذیری‌ها بسیار دشوار بوده و این موضوع، هنگام تصمیم‌گیری در مورد کیفیت گزارش ارائه‌‌شده، مورد توجه قرار خواهد گرفت.»


این غول فناوری درحال حاضر، چندین برنامه‌ی پاداش در ازای اشکال را در دست اجرا دارد که برای گزارش تنها یک آسیب‌پذیری، صدها هزار دلار پرداخت خواهد کرد. این برنامه‌ها عبارتند از؛ برنامه‌ی اجرای احتمالی کانال جانبی که ۲۵۰ هزار دلار پرداخت می‌کند؛ برنامه‌ی Hyper-V، که برای کشف آسیب‌پذیری‌های Meltdown و Spectre راه‌اندازی شده و تا مبلغ ۲۵۰ هزار دلار پرداخت می‌شود؛ برنامه‌ی پاداش برای دور زدن محافظت‌ها که برای کشف روش‌های جدید بهره‌برداری با وجود محافظت‌های ویندوز، مبلغ ۱۰۰ هزار دلار پرداخت می‌کند؛ و برنامه‌ی پاداش برای محافظت که برای دفاع در برابر روش‌های جدید دور زدن محافظت‌ها، مبلغ ۱۰۰ هزار دلار دیگر پرداخت می‌کند.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

10 − پنج =