微软扩大bug赏金计划以涵盖任何Windows的缺陷

微软发布了一个新的bug奖励计划，将会看到任何人在Windows中找到安全漏洞，有资格支付高达15,000美元。

自2013年以来，该公司一直在运行漏洞奖励计划，其中安全研究人员得到赏金回报，以发现和报告可利用的缺陷。当时，微软为Internet Explorer11中的错误支付高达11,000美元。在此之后的几年里，微软的丰富奖励计划已经扩大，具体的方案为那些在Hyper-V虚拟机管理程序中找到漏洞的项目提供了奖励，Windows的广泛的利用缓解系统如DEP和ASLR，以及Edge浏览器。

许多这些赏金计划是有时间限制的，在beta /开发期间涵盖软件，但一旦释放，结束。这种结构是在将漏洞分发给常规最终用户之前，试图吸引更多的审查。上个月，Edge奖励计划已经成为一项持续不断的计划，不再受任何特定的时间限制。

今天宣布的赏金计划并不取代这些重点领域。Edge，Windows缓解技术，Hyper-V和Windows Defender App Guard都有自己专注的赏金方案。相反，它作为Windows 的其余部分的全部。研究人员发现并报告Windows中具有高质量概念证明的远程代码执行缺陷，可以发现自己有资格获得15,000美元的支付。提高特权可以产生10,000美元，甚至信息披露，拒绝服务和欺骗也可以产生高达$ 5,000的奖励。

有针对性的方案可以更有利可图。Hyper-V的一个完整漏洞，使恶意或攻击者控制的虚拟机能够使管理程序本身执行任意代码，将产生高达25万美元的支出。可以绕过全面的利用减轻技术的漏洞可以赚取高达10万美元。