Microsoft расширила свою программу вознаграждений за обнаружение ошибок в .NET и увеличила размер вознаграждений до $40 тысяч за некоторые уязвимости .NET и ASP.NET Core, включая Blazor и Aspire.
Старший менеджер программы поощрения исследователей и вознаграждений в Microsoft Мадлин Экерт заявила, что эти изменения направлены на более точное обнаружение уязвимостей .NET. «Мы рады объявить о важных обновлениях программы вознаграждений Microsoft .NET. Эти изменения расширяют сферу действия программы, упрощают структуру вознаграждений и предлагают отличные стимулы для исследователей безопасности», — пояснила она.
Компания будет выплачивать до $40 тысяч за критические уязвимости безопасности, связанные с удалённым выполнением кода и повышением привилегий, $30 тысяч — за критические обходы функций безопасности и до $20 тысяч — за критические ошибки удалённого отказа в обслуживании.
Программа вознаграждений также была расширена для лучшего охвата уязвимостей .NET Framework и теперь включает все поддерживаемые версии .NET и ASP.NET, смежные технологии, такие как F#, поддерживаемые версии ASP.NET Core для .NET Framework, шаблоны, предоставляемые с поддерживаемыми версиями .NET и ASP.NET Core, действия GitHub в репозиториях .NET и ASP.NET Core.
Ранее в этом году Microsoft увеличила размер вознаграждения до $27 тысяч за уязвимости ИИ, обнаруженные в сервисах и продуктах Power Platform и Dynamics 365.
В феврале компания объявила об увеличении выплат за уязвимости безопасности Microsoft Copilot средней степени серьёзности.
В ходе прошлогодней ежегодной конференции Ignite Microsoft также запустила Zero Day Quest — хакерское мероприятие, посвящённое облачным продуктам и платформам ИИ, с вознаграждением в размере $4 млн. В апреле компания сообщила о выплате более $1,6 млн белым хакерам.
Эти усилия являются частью инициативы Secure Future Initiative (SFI) — общекорпоративного плана по обеспечению кибербезопасности, запущенного в ноябре 2023 года после отчёта, опубликованного Советом по проверке кибербезопасности Министерства внутренней безопасности США. В нём говорилось, что «культура безопасности Microsoft неадекватна и требует пересмотра».
Источник: habr.com