„A Microsoft kedvelőinek, hackereknek és kutatóknak szól felhívásunk! Szeretnétek segíteni, hogy megvédjük a felhasználóinkat, hogy a legnépszerűbb termékeink még jobbak legyenek… és ezzel még pénzt is keresnétek? Hát rajta!”
Így indul a vállalat közleménye, melyben arról számolnak be, hogy kibővítették a hibavadász (bug bounty) programjukat, a célzott kategóriákban meghatározzák a feltételeket, és a sebezhetőséget, hibát feltáró közreműködő akár 250 ezer dollárt is kaphat egy megfelelő formájú jelzésért.
A Microsoft az elmúlt öt évben többször hirdetett meg hasonló, de főleg időkorlátos programot, szintén célzottan, elsősorban a Windows egyes szolgáltatásaira kihegyezve. E programok igen sikeresek voltak, ezért döntöttek a közelmúltban a bővítés mellett. Közleményükben jelzik, hogy a biztonsági kockázatok folyton változnak, időről időre változnak a támadók célpontjai is, a keresett vagy megtalált hibák típusai, így ehhez a védekezésben is alkalmazkodni kell.
A új program fókuszába a következő területek kerültek
- Windows 10, Windows Server 2012, illetve az Insider Preview-k általában
- a Microsoft Hyper-V (itt lehet a legnagyobb összeget, a 250 ezer dollárt megnyerni)
- a beépített védelmi megoldások megkerülését lehetővé tévő sebezhetőségek feltárása a Windows 10-ben (Mitigation Bypass Program)
- Windows Defender
- Microsoft Edge böngésző
[+]
Fontos feltétel, hogy a nulladik napi sebezhetőség exploitjának működnie kell a legutolsó Windows Insider Preview Slow-ban. Amennyiben valaki elsőként jelent külsősként egy olyan hibát, melyet a Microsoftnál már megtaláltak, akkor a kitűzött legmagasabb díj 10 százalékát kapja meg.
