微软悬赏10万美元寻找Windows 8.1安全漏洞

环球网科技 发表于:13年06月27日 12:57 [转载] 新华网IT

  • 分享:
[导读]据国外媒体6月23日报道,多年来,微软一直拒绝为找出其软件安全漏洞的研究者们提供金钱奖励,尽管谷歌和Facebook一直都在逐渐提高所谓“漏洞奖金”项目的奖励额度。现在这一软件巨头突然改变了想法——有时给出的奖金甚至高于后两家竞争对手。

据国外媒体6月23日报道,多年来,微软一直拒绝为找出其软件安全漏洞的研究者们提供金钱奖励,尽管谷歌和Facebook一直都在逐渐提高所谓“漏洞奖金”项目的奖励额度。现在这一软件巨头突然改变了想法——有时给出的奖金甚至高于后两家竞争对手。

\

微软上周宣布,愿意对关于Windows安全漏洞的信息支付最高10万美元的奖金,就从本月末即将发布的Windows 8.1预览版开始。对于能为阻止类似漏洞日后被利用而提供新防御技术的研究者们,微软将为每份方案提供价值5万美元的额外“防御奖金”。

“发现一个漏洞是极具挑战性的,他们需要一项新技术。”微软安全响应中心总监迈克 里维说,“所以要让人们在这一领域费些脑筋的确需要高额奖金的激励”。

除了这些10万和5万美元的大奖之外,微软还将为影响IE 11预览版的漏洞支付1.1万美元,这项策略是为了在该软件向消费者广泛发布前修复漏洞。“(大多数公司)不会设奖寻找测试版软件的漏洞,所以一些研究者就会守到软件发布投产时才将漏洞公布。”微软高级安全分析师凯蒂 牟索利斯在一篇关于漏洞奖金项目的博客文章中写道,“对于我们及我们的客户来说,这些漏洞总是发现得越早越好”。

与微软相比,谷歌对发现其网络应用中的漏洞仅提供了2万美元的奖金,尽管该搜索公司的确曾在今年1月的一次大赛中对Chrome操作系统中的一个漏洞重奖15万美元,并在前一年为Chrome浏览器中的漏洞支付了6万美元。Mozilla公司为其软件漏洞提供了3000美元奖金。Facebook提供的最低奖励为500美元,但是没有明确其上限。

那么微软为什么现在才开始悬赏自己软件中漏洞呢?里维表示,微软一直通过第三方漏洞购买项目获得越来越多的漏洞报告,这些项目包括惠普旗下的“零时差计划”(Zero Day Initiative)和威瑞信(Verisign)的iDefense——后者购买漏洞的费用高达1万美元并向软件供应商报告漏洞。微软还看到了一些赛事活动的影响,如一年一度的Pwn2Own黑客大赛——黑客们先是找到微软产品的高级漏洞,然后再揭秘自己的技术,为此有时能获得6位数的奖励。

微软之所以推出该项目,部分诱因也可能是:在由打算利用漏洞开展间谍或犯罪活动的政府以及黑市买家所构成的另一个圈子里,奖励破解技术的力度不断加大。根据去年3月我所做的一次采访,一个影响Windows系统的有效漏洞能帮黑客从情报或执法机构那里赚得6万到12万美元不等,而一个能通过IE全面攻破一台Windows电脑的漏洞可以赚到高达20万美元。

[责任编辑:杨锦]
美国当地时间周三,微软在旧金山的B uild开发者大会上正式发布Window s8 .1预览版,这是Window s8 .1系统的第一个公测版本。微软C E O鲍尔默透露,8 .1正式版将于11月发布。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.