微软悬赏15万美元鼓励寻找Win8.1安全漏洞

智慧棒

北京时间6月20日早间消息，微软周三宣布了一项新的漏洞奖励计划。对于信息安全研究人员发现的Windows 8.1或IE11的漏洞，每个漏洞微软有可能给予最高15万美元的奖励。
去年，微软曾在Bluehat大赛中推出了漏洞奖励措施。不过，Bluehat大赛并非关注寻找漏洞，而是寻找最有价值、最具创新性的解决方式。去年夏季，在拉斯维加斯的Black Hat信息安全大会上，微软发放了20万美元的高额奖金。
在最新的奖励计划中，微软的奖励分为3种。如果研究人员找到针对Windows 8.1保护机制的新漏洞，那么可以获得最高10万美元的“减轻绕开奖金”。而如果研究人员能针对已确认的攻击技术提供有效的防御措施，那么还可以获得5万美元额外的“Bluehat防御奖金”。因此针对单个漏洞的奖金总额最高达到15万美元。
此外，微软还提供了“IE11预览版漏洞奖金”。对于研究人员发现的Windows 8.1中IE11的关键漏洞，微软将支付每个漏洞1.1万美元的奖金。
微软新的漏洞奖励计划将于6月26日开始。届时微软也将发布带IE11的Windows 8.1预览版。“减轻绕开奖金”和“Bluehat防御奖金”将长期提供，而“IE11预览版漏洞奖金”将只持续30天。
微软高级安全策略师凯蒂·莫苏里斯(Katie Moussoris)在博客中宣布了这一漏洞奖励计划的启动。他表示，微软此前已进行了大量工作，解决相关软件中的漏洞。目前微软将与信息安全研究人员甚至黑客合作，在漏洞带来恶意攻击事件之前找到并解决这些漏洞。
Veracode联合创始人及首席技术官克里斯·维索佩尔(Chris Vysopal)表示，漏洞奖励计划的最大好处在于鼓励信息安全研究社区与微软合作，而不是对抗。此前，许多信息安全研究人员认为，他们完成了本应由软件公司完成了大量劳动，但却没有得到任何报酬。而类似微软此次开展的漏洞奖励计划将带来必要的激励，促使信息安全研究人员在找到漏洞后首先上报，并在漏洞解决前对其保密。
业内人士认为，这一漏洞奖励计划将有助于改进微软的所有产品。近年来，微软采取了大量工作，以加强漏洞减轻技术，不过仍有很大的提升空间。