微软宣布延期Office漏洞奖励计划

近日，微软宣布延期 Office 漏洞奖励计划，截止日期到今年年底12月31号，使安全研究人员有更充足的时间提交漏洞。 微软今年3月开始实行的漏洞奖励计划，最开始的截止时间是今年的6月15号，奖励金额在6000到15000美金之间，具体数额取决于漏洞的严重程度和类型。该漏洞奖励计划最开始是为 Windows 上的 Office Insider 而建立的。 而现在，微软表示安全研究人员在今年12月31日之前都可以提交相关漏洞，并且对那些在过渡期提交的漏洞也可以延长时限。 微软正在寻找 Office Insider Builds 中可能会存在的问题，这样可以让用户更早地接触到 Office 新功能和更强力的安全防护。 微软安全响应中心首席安全团队经理 Phillip Misner 在博客中表示： 我们和安全社区的合作非常融洽，我们也会在 Windows Office Insider Builds 中继续与安全社区合作。这这次的漏洞奖励计划可能标志着微软在大规模发布新版本前，找到其中可能会出现的漏洞会更加重要。 比如像利用 Office Protected View 进行沙盒逃逸和提权；绕过 Word，Excel，PowerPonit 中的安全保护措施，执行宏病毒；绕过 Outlook 中的 Blocked attachments 来预定义扩展，这样的漏洞提交都可以获得 15000 美金的漏洞奖励。 微软表示，只有那些最高级别的漏洞才会获得最高的奖金，对于质量不高的漏洞报告，收到的奖金不会超过9000美金。并且微软在漏洞奖励计划条款说明，对于上报的内容，必须要有相应的Poc。 而且这些提交的漏洞还要符合以下条件： 在打完最新安全补丁的 Windows 10 平台下运行； 使用的是最新版本的 Office Insider； 漏洞在以前并没有被提交过； 漏洞在以前版本可以复现，在最新版本中也可以复现。 而且，对于那些微软内部很知名，并且一直在研究中的那些问题，第一个符合条件的提交最多可以获得1500美金的漏洞奖励。   FB小编 Liki 编译，来自FreeBuf.COM

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/