微软MBB缓解绕过奖励计划张榜了 Top5中有腾讯Peter Hlavaty及绿盟科技Zhang Yunhai

该计划迄今为止支付的赏金总额超过150万美金,腾讯科恩实验室Peter Hlavaty及绿盟科技Zhang Yunhai进入前5,分别拿到6万美金及1万美金的奖励,恭喜他们!

赏金猎人张榜了

微软的绕过奖励计划MBB又公告了最新一期榜单Bounty Hunters: The Honor Roll

以下研究人员向 microsoft 提交了一个符合资格的漏洞或新的缓解绕过技术, 作为 microsoft 安全响应中心 (msrc) 赏金程序的一部分。我们非常感谢他们的参与, 并与我们合作, 帮助客户保持安全。

Total bounties paid to date: Over $1,500,000.00

尤其是绿盟科技,据称这国内唯一一家获得5次获得该奖项的了。据绿盟科技zhangyunhai介绍,这次绕过是 

利用系统自身的特性,实现了任意代码劫持,从而绕过了所有的缓解措施。

微软绕过奖励计划MBB是什么

官方称为Microsoft 赏金计划,Microsoft 将针对某些类型的漏洞和利用技术的报告提供赏金。

Microsoft 发起了许多活动以提高安全性和帮助保护客户,包括 安全开发生命周期 (SDL) 过程和 协调漏洞披露 (CVD)。 我们创建了行业协作计划,例如 微软主动保护计划 (MAPP) 和 微软漏洞研究 (MSVR),并设立了 BlueHat 奖以鼓励对防御技术的研究。自 2013 年 6 月,我们还对报告特定漏洞类型的人员提供了赏金。这些赏金计划帮助 Microsoft 利用安全研究人员的集体智慧和能力来帮助保护客户。正如以下列表所示,多个有时间限制的计划仅适用于预览版本,因此可在完成最终版本前解决漏洞。

请查看下面的活动计划,并通过每个链接查看计划详情。如果你发现了符合我们赏金计划的漏洞,请通过 secure@microsoft.com 联系我们并提供详细信息。

Microsoft 安全响应中心

有效的赏金计划

计划名称 开始日期 结束日期 符合条件的项 赏金范围
Microsoft .NET Core 和 ASP.NET Core Bug 赏金计划条款 2016 年 9 月 1 日 正在进行中 关于 .NET Core 和 ASP.NET Core RTM 以及未来内部版本的漏洞报告(请访问链接查看计划详情) 最高 15,000 美元
Windows Insider Preview 中的 Microsoft Edge RCE Bug 赏金 2016 年 8 月 4 日 2017 年 5 月 15 日 Windows Insider Preview 中 Microsoft Edge 的关键 RCE。具有时效性 最高 15,000 美元
Online Services Bug 赏金 (O365) 2014 年 9 月 23 日 正在进行中 关于适用的 O365 服务的漏洞报告(请访问链接查看计划详情)。 最高 15,000 美元
Online Services Bug 赏金 (Azure) 2015 年 4 月 22 日 正在进行中 关于合格的 Azure 服务的漏洞报告(请访问链接查看计划详情)。 最高 15,000 美元
缓解绕过赏金 2013 年 6 月 26 日 正在进行中 针对最新版本的 Windows 操作系统内置保护的新型利用技术。 最高 100,000 美元
防御赏金 2013 年 6 月 26 日 正在进行中 合格的缓解绕过提交随附的防御方法 最高 100,000 美元(适用的缓解绕过赏金除外)。

发表评论