Microsoft выплатила исследователям более 128 000 долларов в рамках своих программ Bug Bounty, включая 100 000 долларов Mitigation Bypass Bounty Джеймсу Форшоу за обнаружение «целого класса проблем».
В июне Microsoft объявила о трех новых программах вознаграждений в продолжение своего конкурса BlueHat Prize, в котором были присуждены крупные денежные призы за поиск способов блокировки целых классов атак на уязвимости памяти в Windows.
Основное внимание уделялось устранению ошибок в Windows 8.1 и IE11 до того, как они дойдут до конечных пользователей, и предложения были приглашены от отдельных исследователей и сотрудников организаций.
Bug Bounty для Internet Explorer 11 Preview, предлагавшая до 11000 долларов США за критические уязвимости, влияющие на Internet Explorer 11 Preview в Windows 8.1 Preview, имела временные рамки, ограниченные первыми 30 днями периода бета-тестирования IE 11, но две другие программы поощрения продолжаются. :
Награда за обход защиты — до 100 000 долларов США за действительно новые методы эксплуатации против средств защиты, встроенных в Windows 8.1. Чтобы квалифицировать обходную отправку, необходимо, чтобы она была «новым и отличным методом», неизвестным Microsoft и не описанным в предыдущих работах.
Бонус BlueHat для защиты — дополнительные 50 000 долларов на защитные идеи, которые сопровождают квалификационную заявку на обход защиты, включая технический технический документ, описывающий способ эффективного блокирования техники эксплуатации.
Microsoft объявила о полученных до сих пор наградах. Шесть человек получили награды за уязвимости IE 11, как правило, по 1100 долларов за каждую ошибку. В дополнение к 4400 долларам за 4 ошибки IE 11 Джеймс Форшоу, исследователь из Context Information Security, также был награжден премией в размере 5000 долларов за «обнаружение классных уязвимостей дизайна IE», а теперь программа Mitigation Bypass принесла ему еще 100000 долларов.
В блоге BlueHat отмечается:
По совпадению, один из наших блестящих инженеров в Microsoft, Томас Гарнье, также нашел вариант этого класса техники атаки. Инженеры Microsoft, такие как Томас, постоянно изучают способы повышения безопасности, но заявление Джеймса было настолько качественным и обрисовывало некоторые другие варианты, что мы хотели присудить ему полную награду в размере 100 000 долларов.
Хотя мы не можем вдаваться в подробности этого нового метода обхода смягчения последствий, пока не рассмотрим его, мы рады, что сможем лучше защищать клиентов, создавая новые средства защиты для будущих версий наших продуктов, потому что мы узнали об этом методе и его использовании. варианты.
Другие получатели наград IE 11 также являются профессиональными исследователями безопасности. В их числе Иван Фратрик, который, как абсолютный победитель прошлогодней премии BlueHat Prize, получил выплату в размере 200 000 долларов. Сейчас он работает в группе безопасности Google и пожертвовал свою награду в размере 1100 долларов на благотворительность.