聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软安全响应中心的工程副总裁 Tom Gallagher 在欧洲黑帽大会上宣布称,任何影响其在线服务的严重漏洞,无论代码是由微软还是第三方编写的,均被纳入漏洞奖励计划。
Gallagher 解释称,攻击者在利用漏洞时并不区分微软代码和第三方组件,因此微软漏洞奖励计划将默认涵盖所有微软在线服务,新服务发布之时即纳入奖励范围。目前漏洞奖励计划涵盖影响微软在线服务的位于第三方(包括商用或开源组件)依赖中的漏洞。
Gallagher 表示,“从今天开始,如果某严重漏洞对我们的在线服务造成直接且可验证的影响,就有资格获得奖励。不管代码是否由微软所有还是管理、是否是第三方代码或者是否开源,我们将竭尽所能解决这个问题。我们的目标是激励最高风险领域的研究工作,尤其是威胁人员最可能利用的领域。在没有现有漏洞奖励计划的情况下,无论安全研究界的专长4何处,我们将认可并嘉奖他们的多样化深刻洞察能力。”
微软已在过去12个月中,向344名安全研究员发放了超过1700多万美元的奖励,在2024年这一数字是1660万美元。微软本次涵盖第三方代码漏洞的措施是其“安全未来倡议”的一部分,而该倡议旨在将安全置于所有安全运营之首。
根据该倡议,微软还禁用了位于Windows 版本 Microsoft 365和 Office 2024 应用中的所有 ActiveX 控制,并更新 Microsoft 365 安全默认值,拦截通过遗留认证协议访问 SharePoint、OneDrive和Office 文件的行为。最近,微软推出一个新的 Team 特性,在会议过程中拦截截屏尝试;另外还发布了保护 Entra ID 登录以免遭脚本注入攻击的计划。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
微软扩展Copilot AI漏洞奖励计划范围,提高赏金
微软推出 Defender 漏洞奖励计划,最高奖金$2万
微软推出新的AI漏洞奖励计划,重在Bing用户体验
通过配置不当的微软app劫持Bing 搜索结果,获得4万美元漏洞奖励
微软Azure新漏洞可导致RCE,研究员获3万美元奖励
原文链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-bounty-program-now-includes-any-flaw-impacting-its-services/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
)