vendredi, novembre 29, 2024

Microsoft ajuste et étend les modèles de tarification des primes de bogue

Source: Obsidian Divertissement

Microsoft a récemment mis à jour son programme de primes de bogues pour ajouter des produits supplémentaires à la gamme de ceux éligibles aux primes. Et maintenant, l’entreprise revient à bricoler ses termes pour exprimer plus précisément ce que vous pouvez attendre de son programme.

Afin d’obtenir le maximum d’argent pour les bugs, vous devrez tomber sur les scénarios à fort impact suivants :

  • Exécution de code à distance via une entrée non fiable (CWE-94 « Improper Control of Generation of Code (« Code Injection ») ») (+30 % d’attribution maximale)
  • Exécution de code à distance via une entrée non fiable (CWE-502 « Deserialization of Untrusted Data ») (+30 % d’attribution maximale)
  • Fuite non autorisée de données sensibles entre locataires et entre identités1 (CWE-200 « Exposition d’informations sensibles à un acteur non autorisé ») (+20 % d’attribution maximale)
  • Fuite non autorisée de données sensibles entre identités (CWE-488 « Exposition d’un élément de données à une mauvaise session ») (+20 % d’attribution maximale)
  • Vulnérabilités « Confused Deputy » qui peuvent être utilisées dans une attaque pratique qui accède aux ressources d’une manière qui contourne l’authentification (CWE-918 « Server-Side Request Forgery (SSRF) ») (+15% de récompense maximale)

Vous pouvez voir le tour d’horizon complet des modifications de la prime de bogue sur la page de Microsoft où il y a une ventilation détaillée des produits et services actuels que Redmond est prêt à distribuer de l’argent. Notez que de nombreux bogues, s’ils ne sont considérés que comme des menaces « modérées » ou « faibles », vous rapporteront un total énorme de zéro devise, alors assurez-vous que les bogues que vous signalez sont suffisamment gros et juteux pour obtenir une récompense appropriée de Microsoft. . Et oubliez les criminels qui gagnent des millions grâce à des tentatives délibérées de contrarier l’entreprise.

Pour des nouvelles concernant les dernières vulnérabilités exploitées par les ennemis de Microsoft, consultez le malware Tarrask.

Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.

Source-136

- Advertisement -

Latest