微软支付第二个10万美金 – 绿盟科技于旸收入囊中
奖项由来
微软在2013年的Build开发者大会上发布Windows8.1预览版的同时,推出了一个安全奖励计划,旨在更好的提升产品的安全性。奖励计划共有三部分:
1 Mitigation Bypass Bounty:奖金高达10万美元,奖励发现Windows 8.1预览版防护漏洞的人员。
2 BlueHat Bonus for Defense:奖金高达5万美元,额外奖励那些提出能减少系统漏洞的理念的人员。
3 IE11预览版bug奖励:奖金高达11000美元,奖励发现IE11预览版缺陷的人员,时间限制为30天。
微软发言人对Threatpost谈到“这次支付反映出我们公司认识到了如何改善微软平台安全性的新方法,这些建立在已知的缓解旁路衍生技术的基础上”。微软曾声称“学习新的缓解旁路衍生技术可以帮助我们提高整个系统平台的抗攻击能力”。
从奖励计划开启至今,共计支付了253,000美元的奖金,这次是第二次支付最高额度的奖金(高达100,0000美元),上一次奖金的得主是詹姆斯福肖,他因为在IE11预览期间发现Bug而获奖。
技术指标
微软方面没有透露相关漏洞的具体细节,不过关于“缓解旁路衍生”技术,有以下几个指标:
1 提交的技术、方法必须新颖,适用于windows体系的利用远程代码执行漏洞;
2 必须是通用的,即适用于多个内存崩溃漏洞;
3 漏洞利用必须可靠,且有合理的请求;
4 必须适用于高风险的应用程序,如浏览器或文档阅读器;
5 必须适用于用户模式应用程序;
6 漏洞必须来源于微软产品的最新版本。
人物介绍(来自百度百科):
于旸,绿盟科技研究院安全研究部高级研究员,从事信息安全研究工作超过十年。曾发现并报告了Microsoft、Cisco等公司产品的多个安全漏洞。在CanSecWest、HITCon、NADSS、VARA、XCon、xKungfoo等国内外安全会议上发表过关于无线安全、RootKit检测、安全漏洞等主题的演讲。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文