Zamknij komunikat

Nowy Office 2013
Do góry Skomentuj

Tropiciele błędów w Office Insider mogą zgarn...

Tropiciele błędów w Office Insider mogą zgarnąć nawet 15 tys. dolarów

Microsoft ogłosił dziś uruchomienie kolejnego programu tropienia błędów (Bug Bounty Program), tym razem dla Office Insiderów, korzystających z desktopowych aplikacji dla Windows. Program potrwa trzy miesiące (podobnie jak w przypadku Projektu Spartan w 2015 r., którego efektem była przeglądarka Edge) i zakończy się 15 czerwca tego roku. Insiderzy, którzy wykryją i przekażą firmie informacje o podatności, mogą liczyć na nagrody w kwocie wynoszącej nawet 15 tysięcy dolarów.

Jakich podatności szuka Microsoft? Przede wszystkim trzech typów. Po pierwsze - eskalacja uprawnień. Po drugie - możliwość obejścia zasad bezpieczeństwa, które blokują makra przed wykonywaniem. Po trzecie - możliwość obejścia zasad automatycznego blokowania załączników w kliencie Outlook. Przewidziane nagrody wynoszą nawet 15 tys. dolarów, jednak zależy to od rangi zgłoszonej podatności. Eskalacja uprawnień w Widoku Chronionym oferuje od 9 tys. do 15 tys. dolarów, w zależności od jakości raportu. Tyle samo można ugrać, znajdując sposób na wykonywanie makr. Nieco mniejszą nagrodę przewidziano dla luk w zabezpieczeniach Outlooka - to kwota od 6 do 9 tys. dolarów.

Office Insider

Z błędami kwalifikującymi się do nagrody wiążą się dość rygorystyczne ograniczenia. Innymi słowy, nagroda nie zostanie przyznana, jeśli:

  • podatność występuje w wydaniu wcześniejszym niż aktualny build desktopowy Office Insider w kręgu slow;
  • podatność występuje w zawartości wygenerowanej przez użytkownika;
  • podatność wymaga złożonej lub nietypowej akcji ze strony użytkownika;
  • podatność występuje po wyłączeniu istniejących funkcji chroniących;
  • podatność występuje w komponentach niezainstalowanych przez Office;
  • podatność w komponentach zewnętrznych dostawców może być zainstalowana w systemie, który umożliwia jej zaistnienie;
  • podatność dotycząca wyjścia (escaping) z Widoku Chronionego występuje, gdy Widok Chroniony nie jest aktywowany przez kod Office lub włączony domyślnie przez użytkownika dla zgłoszonego scenariusza;
  • podatność występuje w kontenerze aplikacji;
  • podatność przypisać można do innej kategorii, którą Microsoft zaklasyfikował jako niespełniającą warunków.

Co w przypadku, gdy kilku Insiderów zgłosi ten sam błąd? Microsoft tłumaczy, że wtedy o nagrodzie decyduje kolejność zgłoszenia. Z drugiej strony dodatkowa nagroda może zostać wypłacona przy okazji przesłania informacji uzupełniających. Firma przewidziała jeszcze inną nagrodę w wysokości 1500 dolarów, która zasili kieszeń tych, którzy zgłoszą nieznaną publicznie podatność, która jednak jest już znana w Microsoft.

Microsoft prowadzi już kilka programów Bug Bounty, jednak ani jeden z nich nie dotyczy samego Windows. Istniejące programy dotyczą m.in. Edge .NET Core oraz ASP.NET Core.

Redakcja: Krzysztof Sulikowski Opublikowano: 16 marca 2017, 14:26 Odsłon: 523 Kategoria: Office 2016

Komentarze

Nie napisano jeszcze ani jednego komentarza. Twój może być pierwszy.

Dodaj swój komentarz

Zasady publikacji komentarzyZasady publikacji komentarzy

Redakcja CentrumXP.pl nie odpowiada za treść komentarzy publikowanych na stronach Portalu
i zastrzega sobie prawo do usuwania wypowiedzi, które:

  • zawierają słowa wulgarne, obraźliwe, prowokujące i inne naruszające dobre obyczaje;
  • są jedynie próbami reklamowania stron internetowych (spamowanie poprzez umieszczanie linków);
  • przyczyniają się do złamania prawa bądź warunków licencyjnych oprogramowania (cracki, seriale, torrenty itp.);
  • zawierają dane osobowe, teleadresowe, adresy mailowe lub numery GG;
  • merytorycznie nie wnoszą nic do dyskusji lub nie mają związku z tematem komentowanego newsa, artykułu bądź pliku.