Microsoft ogłosił dziś uruchomienie kolejnego programu tropienia błędów (Bug Bounty Program), tym razem dla Office Insiderów, korzystających z desktopowych aplikacji dla Windows. Program potrwa trzy miesiące (podobnie jak w przypadku Projektu Spartan w 2015 r., którego efektem była przeglądarka Edge) i zakończy się 15 czerwca tego roku. Insiderzy, którzy wykryją i przekażą firmie informacje o podatności, mogą liczyć na nagrody w kwocie wynoszącej nawet 15 tysięcy dolarów.
Jakich podatności szuka Microsoft? Przede wszystkim trzech typów. Po pierwsze - eskalacja uprawnień. Po drugie - możliwość obejścia zasad bezpieczeństwa, które blokują makra przed wykonywaniem. Po trzecie - możliwość obejścia zasad automatycznego blokowania załączników w kliencie Outlook. Przewidziane nagrody wynoszą nawet 15 tys. dolarów, jednak zależy to od rangi zgłoszonej podatności. Eskalacja uprawnień w Widoku Chronionym oferuje od 9 tys. do 15 tys. dolarów, w zależności od jakości raportu. Tyle samo można ugrać, znajdując sposób na wykonywanie makr. Nieco mniejszą nagrodę przewidziano dla luk w zabezpieczeniach Outlooka - to kwota od 6 do 9 tys. dolarów.
Z błędami kwalifikującymi się do nagrody wiążą się dość rygorystyczne ograniczenia. Innymi słowy, nagroda nie zostanie przyznana, jeśli:
- podatność występuje w wydaniu wcześniejszym niż aktualny build desktopowy Office Insider w kręgu slow;
- podatność występuje w zawartości wygenerowanej przez użytkownika;
- podatność wymaga złożonej lub nietypowej akcji ze strony użytkownika;
- podatność występuje po wyłączeniu istniejących funkcji chroniących;
- podatność występuje w komponentach niezainstalowanych przez Office;
- podatność w komponentach zewnętrznych dostawców może być zainstalowana w systemie, który umożliwia jej zaistnienie;
- podatność dotycząca wyjścia (escaping) z Widoku Chronionego występuje, gdy Widok Chroniony nie jest aktywowany przez kod Office lub włączony domyślnie przez użytkownika dla zgłoszonego scenariusza;
- podatność występuje w kontenerze aplikacji;
- podatność przypisać można do innej kategorii, którą Microsoft zaklasyfikował jako niespełniającą warunków.
Co w przypadku, gdy kilku Insiderów zgłosi ten sam błąd? Microsoft tłumaczy, że wtedy o nagrodzie decyduje kolejność zgłoszenia. Z drugiej strony dodatkowa nagroda może zostać wypłacona przy okazji przesłania informacji uzupełniających. Firma przewidziała jeszcze inną nagrodę w wysokości 1500 dolarów, która zasili kieszeń tych, którzy zgłoszą nieznaną publicznie podatność, która jednak jest już znana w Microsoft.
Microsoft prowadzi już kilka programów Bug Bounty, jednak ani jeden z nich nie dotyczy samego Windows. Istniejące programy dotyczą m.in. Edge .NET Core oraz ASP.NET Core.
