Microsoft заплатит за поиск уязвимостей в Windows 8.1 и IE 11

    image

    C 26 июня Microsoft будет готова заплатить тем, кто найдет в ее продуктах новые уязвимости и техники эксплоитов определенных видов.

    Направлений для творческого поиска будет сразу несколько:
    1. Mitigation Bypass Bounty — до $100,000 за нахождение нового способа эксплуатации уязвимостей защиты в последней версии ОС Windows 8.1 Preview.
    2. BlueHat Bonus for Defense — до $50,000 в качестве бонуса тем, кто предложит идеи для защиты от проникновений, обнаруженных в первой программе.
    3. Internet Explorer 11 Preview Bug Bounty — до $11,000 за найденную критическую уязвимость в Internet Explorer 11 Preview на Windows 8.1. Срок данного предложения — на время беты нового IE (c 26 июня по 26 июля).

    Утверждается, что подобная мера поможет добиться лучшей защиты готовящейся к выходу системы, чем регулярный отлов багов и постоянное закрытие дыр в защите. Формат подачи заявок-отчетов об уязвимостях раскрыт здесь, подробнее прочитать о программе можно здесь.

    Источник: Microsoft.com
    Share post

    Similar posts

    Comments 47

      –12
      Microsoft желает разориться, или как?
        +6
        Google же не разорился… :/
          –2
          Это, как всегда, копейки за уязвимости, которые на черном рынке стоят в несколько раз (если не десятков раз) больше.
          +21
          Это обходится дешевле, чем содержать людей в штате.
            +1
            Не, ну содержать людей в штате все равно будут же :)
              +6
              Только они в это время будут заняты другими вещами ;)
              • UFO just landed and posted this here
                  +3
                  hackernews, наверное.
                    +3
                    Скорее reddit.
                      +1
                      Реддит какая-то слишком разноплановая помойка, да и формат сосвсем другой.
                    +1
                    Slashdot же?
                –1
                Программистов или тестеров? Хотя программисты таки нынче дороги. Но! Как практикующий программист однозоначно готов утверждать, что к своему коду отношусь предвзято. Т.е. с позиции «Все такие-сякие — а я воздушный шарик». И постоянно требую к себе внимания тестеров — именно на основании моей предвзятости к результатам своей работы. Так что с точки зрения MS — «Больше, больше (почти) бесплатных тестеров требует моё естество!»
                  0
                  С учётом того, что Microsoft сливает данные о дырах спецслужбам (наверняка не за бесплатно), они ещё и в плюсе остаются
                  0
                  Насколько я помню, то google платил за любой баг.
                  А Microsoft соглашаются только на некоторые виды — не разорятся.
                    –3
                    Платить будут за некоторые виды, но и их очень много может быть
                      +5
                      К чему тут это ваше «их очень много может быть»? Посмотрите, количество уязвимостей, которые находили раньше в продуктах Майкрософт, например здесь:
                      secunia.com/
                      Можете сравнить с конкурентами, например с тем же Гуглом или Эпплом.
                    0
                    Просто оставлю тут это: www.opennet.ru/opennews/art.shtml?num=37217 (Microsoft тайно сообщала спецслужбам о неисправленных уязвимостях в Windows и Skype)
                    +13
                    Ключевое здесь «до»
                      –6
                      Microsoft желает халявное тестирование
                        +1
                        Ну не халявное, всё-так. Для них да, выгодно. Но и для исследователей приятно.
                          +13
                          Халявное тестирование? Для многих $11000 — приличное вознаграждение.
                          +18
                          Нравится мне такой подход в компаниях. Не можешь побороть хакеров — сделай чтобы хакеры работали на тебя. Вот так же бы с контентом, который выпиливают последнее время везде. Не можешь победить пиратов — заработай на пиратстве.
                            0
                            На пиратстве много не заработаешь ) Другое дело, что скачать пиратку почти всегда во много раз проще и быстрее, чем лицуху (будь то игра, фильм, музыка или программа) — в этом главная ошибка копирастов. Почти — потому что есть, например, Steam и GOG, Apple AppStore, Google Play, etc.
                              +4
                              Другое дело, что скачать пиратку почти всегда во много раз проще и быстрее, чем лицуху

                              Ну дак да, а отжать у лоха айфон — гораздо проще и быстрее, чем зарабатывать на него самому.
                                +3
                                Ну не совсем правильная аналогия, но даже если ее придерживаться, то вот купить айфон, не вставая из-за компа, я вполне могу. Т.е. интернет-магазин проще, чем «отжать в подворотне».
                            +6
                            Положительный шаг. Помимо практической пользы в поиске уязвимостей это позволит тыкать носом агрессивных хэйтеров.
                              –4
                              А что, если это просто рекламная акция:
                              — Нам никому не пришлось заплатить, потому-что мы сделали идеальную систему без уязвимостей.

                              Но если вдруг уязвимости надутся, маркетинг немного переформулируют:
                              — Мы делаем все, чтобы наша система была надежной и неуязвимой.

                              Идеальная тактика, нет невыгодного расклада.
                              И особо вкладываться не надо, не так много будет уязвимостей ценой пару тысяч долларов вознаграждения, 8-я винда все-таки тоже не пальцем делана.
                                +13
                                [шутка моде он]
                                Рановато Эдвард Сноуден про PRISM признался, подождал бы месяц, и сейчас бы мог 100000 долларов заработать ))
                                  +12
                                  Вы забыли выключить режим шутки.
                                    +4
                                    [шутка моде офф]
                                      +1
                                      А вот так закрывать теги уже невалидно, иерархия тегов нарушается.
                                      +1
                                      Вы забыли спецификацию. Тег <штука-моде> закрывается автоматически при закрытии тега <комментарий>.
                                    +1
                                    Поправте:
                                    Internet Explorer 11 Preview Bug Bounty — до $11,000 за найденную критическую уязвимость в Internet Explorer 11 Preview на Windows 8.1. Срок данного предложения — на время беты нового IE (c 16 июня по 16 июля).


                                    Сроки с 26 июня по 26 июля
                                    +1
                                    Кастую в топик Хомякова
                                      +1
                                      Они бы в свое время такое для Win с 95 по Me запилить попытались…
                                        +9
                                        Тогда бы точно разорились.
                                        –5
                                        Радует в этой ситуации, что будет все таки 8.1, а не т.н. «мажорное» обновление Windows Blue (мажорное в кавычках, потому что реальное последнее мажорное обновление, как известно, было 6.0 — виста, семерка и восьмерка — минорные апдейты по факту). Т.о. обновимся бесплатно, надеюсь.
                                          +3
                                          потому что реальное последнее мажорное обновление, как известно, было 6.0 — виста, семерка и восьмерка — минорные апдейты по факту
                                          Раймонд Чен: использование внутреннего номера версии для ссылок на версии Windows безошибочно отличает позера от настоящего разработчика blogs.msdn.com/b/oldnewthing/archive/2013/05/07/10416464.aspx
                                            0
                                            Я вообще не про это писал, перечитайте сообщение.
                                              +1
                                              потому что реальное последнее мажорное обновление, как известно

                                              Bullshit
                                                0
                                                Я с удовольствием бы поспорил с вами на эту тему, но думаю тут не место, не та тема, да и момент для меня не принципиальный. Если вас интересует называю ли я в быту семерку «виндовз 6.1», а висту «виндовз 6.0», то нет — не называю, тут уж придется верить на слово )
                                          +4
                                          > Microsoft заплатит
                                          Мне этого достаточно
                                            +1
                                            Оно только для резидентов США или для всех?
                                              +2
                                              AM I ELIGIBLE TO PARTICIPATE?

                                              You are eligible to participate in this program if:

                                              you are 14 years of age or older. If you are at least 14 years old, but are considered a minor in your place of residence, you must ask your parent’s or legal guardian’s permission prior to participating in this program.
                                              you are either an individual researcher participating in your own individual capacity, or you work for an organization that permits you to participate. You are responsible for reviewing your employer’s rules for participating in this program.
                                              See below for a list of those who are not eligible to participate.

                                              WHO IS NOT ELIGIBLE TO PARTICIPATE?

                                              A resident of any of countries under U.S. sanctions, such as Cuba, Iran, North Korea, Sudan, and Syria;
                                              a current employee of Microsoft Corporation or a Microsoft subsidiary, or an immediate family (parent, sibling, spouse, or child) or household member of such an employee;
                                              a contingent staff member or vendor employee currently working with Microsoft; or
                                              a person involved in any part of the administration and execution of this program.
                                              0
                                              Кстати, Майкрософт планирует IE 11 для седьмой винды?
                                                0
                                                Плюс ко всему всем тестерам нужна Windows 8.

                                                Only users with full accounts can post comments. Log in, please.