Microsoft платит до 4 млн рублей за найденные уязвимости в .NET!
- Категория: Microsoft
- Дата: 31 июля 2025 г. в 22:20
- Просмотров: 68
Многие IT-компании предлагают щедрые вознаграждения (так называемые "bug bounty") специалистам, которые находят уязвимости в их программном обеспечении и сообщают о них напрямую разработчикам. Это позволяет оперативно исправить проблему, прежде чем злоумышленники смогут ею воспользоваться. Microsoft не исключение, и они только что объявили о существенном увеличении выплат в своей программе .NET Bounty.
Теперь за обнаруженные уязвимости можно получить от 7 000 до 40 000 долларов (примерно от 650 000 до 4 млн рублей). Конечно, максимальная награда полагается только за выявление критических уязвимостей, позволяющих удаленно выполнить код (RCE) или повысить привилегии (EoP), при условии предоставления полной документации.
Вот как выглядит таблица вознаграждений:
Подробнее о программе .NET Bounty
Программа .NET Bounty в первую очередь ориентирована на поиск уязвимостей в .NET и ASP.NET Core, включая Blazor и Aspire. Теперь в список входят все поддерживаемые версии .NET и ASP.NET, ASP.NET Core для .NET Framework, шаблоны, предоставляемые вместе с ними, GitHub Actions в их репозиториях и смежные технологии, такие как F#.
Обновленная система вознаграждений четко определяет уровни серьезности, чтобы за проблемы с высоким уровнем воздействия выплачивались более крупные суммы. Microsoft также предоставила рекомендации о том, как составить "полный" отчет об уязвимости.
Полную информацию о программе можно найти в блоге Microsoft.
Мнение редакции:
Microsoft делает важный шаг для повышения безопасности своих продуктов, стимулируя сообщество специалистов по безопасности искать уязвимости. Увеличение вознаграждений делает программу более привлекательной и должно привести к обнаружению большего количества критических ошибок.
Security Impact | Report Quality | Critical | Important |
---|---|---|---|
Remote Code Execution | Complete | $40,000 | $30,000 |
Not Complete | $20,000 | $20,000 | |
Elevation of Privilege | Complete | $40,000 | $10,000 |
Not Complete | $20,000 | $4,000 | |
Security Feature Bypass | Complete | $30,000 | $10,000 |
Not Complete | $20,000 | $4,000 | |
Remote Denial of Service | Complete | $20,000 | $10,000 |
Not Complete | $15,000 | $4,000 | |
Spoofing or Tampering | Complete | $10,000 | $5,000 |
Not Complete | $7,000 | $3,000 | |
Information Disclosure | Complete | $10,000 | $5,000 |
Not Complete | $7,000 | $3,000 | |
Insecure Documentation | Complete | $10,000 | $5,000 |
Not Complete | $7,000 | $3,000 |
- Комментарии