Microsoft bugün bir Bug Bounty Program‘ı (Ödüllü Hata Bulma Programı) daha duyurdu ve bu sefer masaüstü Windows uygulamalarını kullanan Office Insider lar için. Program, Project Spartan (şimdi Microsoft Edge) için Nisan 2015’te yaptığı gibi üç ay sürecek ve 15 Haziran‘da sona erecek.
Microsoft’un aradığı üç açıklık türü var. Bildiğimiz gibi, güvenilmeyen Office belgeleri Korumalı Görünüm’de açılır, bu nedenle bu moddayken ayrıcalıkları yükseltebilen her kod programa katılmanız için uygun. Makroların çalıştırılmasını engelleyen güvenlik ilkelerini atlanmasını sağlayan açıklar ve firmanın aradığı son güvenlik açığı, Outlook’un otomatik ek bloğu ilkelerini atlayabilme yeteneği.
Gönderiminizi diskalifiye edecek birtakım şeyler de var:
- Mevcut Office Insider’ın yavaş sürümlerinin öncesindeki herhangi bir şeydeki güvenlik açıkları
- Kullanıcı tarafından üretilen içeriğin güvenlik açıkları
- Kapsamlı veya olası olmayan kullanıcı işlemleri gerektiren güvenlik açıkları
- Mevcut güvenlik özelliklerini devre dışı bırakarak bulunan güvenlik açıkları
- Office tarafından yüklenmeyen bileşenlerdeki güvenlik açıkları
- Güvenlik açığı kullanıma sokmak için sisteme kurulabilecek üçüncü taraf bileşenlerindeki güvenlik açıkları
- Korumalı Görünümden kaçma ile ilgili güvenlik açıkları, Korumalı Görünüm açık bir şekilde Office kodunda etkinleştirilmemiş veya varsayılan olarak raporlanan senaryoda etkinleştirilmiştir.
- Uygulama kapsayıcısındaki güvenlik açıkları
- Microsoft’un kendi takdirine bağlı olarak uygun olmayacak şekilde belirlediği güvenlik açığıyla ilgili diğer kategoriler.
Ödemeler 15.000 dolara kadar olabilir, ancak fiyat değişebilir ve 500 dolardan daha az da olabilir. Korumalı Mod’daki ayrıcalık yükselmesi, rapor kalitesine bağlı olarak 9,000 dolardan 15,000 dolar arasında olabilir. Makro yürütme konusundaki ücrette aynı, ancak Outlook’taki güvenlik özelliklerini atlamak 6000 dolar ile 9000 dolar arası.
Birden fazla kullanıcı aynı raporu gönderirse, ilk gönderen kişi ödülleri alır. Son olarak, dahili olarak bilinen ve etkin bir şekilde üzerinde çalışılan bir konuda bir rapor gönderirseniz, 1,500 dolara kadar ödül alabilirsiniz.
Microsoft’un Bug Bounty Programlarının bir sayısı var, ancak yine de Windows için bir tane bulunmamakta. Edge, .NET Core ve ASP.NET Core için ve daha fazlası için bu tip programlar bulunmakta.
