微软宣布延期office漏洞奖励计划-k8凯发棋牌

近日，微软宣布延期 office 漏洞奖励计划，截止日期到今年年底12月31号，使安全研究人员有更充足的时间提交漏洞。

微软今年3月开始实行的漏洞奖励计划，最开始的截止时间是今年的6月15号，奖励金额在6000到15000美金之间，具体数额取决于漏洞的严重程度和类型。该漏洞奖励计划最开始是为 windows 上的 office insider 而建立的。

而现在，微软表示安全研究人员在今年12月31日之前都可以提交相关漏洞，并且对那些在过渡期提交的漏洞也可以延长时限。

微软正在寻找 office insider builds 中可能会存在的问题，这样可以让用户更早地接触到 office 新功能和更强力的安全防护。

微软安全响应中心首席安全团队经理 phillip misner 在博客中表示：

我们和安全社区的合作非常融洽，我们也会在 windows office insider builds 中继续与安全社区合作。这这次的漏洞奖励计划可能标志着微软在大规模发布新版本前，找到其中可能会出现的漏洞会更加重要。

比如像利用 office protected view 进行沙盒逃逸和提权；绕过 word，excel，powerponit 中的安全保护措施，执行宏病毒；绕过 outlook 中的 blocked attachments 来预定义扩展，这样的漏洞提交都可以获得 15000 美金的漏洞奖励。

微软表示，只有那些最高级别的漏洞才会获得最高的奖金，对于质量不高的漏洞报告，收到的奖金不会超过9000美金。并且微软在漏洞奖励计划条款说明，对于上报的内容，必须要有相应的poc。

而且这些提交的漏洞还要符合以下条件：

在打完最新安全补丁的 windows 10 平台下运行；

使用的是最新版本的 office insider；

漏洞在以前并没有被提交过；

漏洞在以前版本可以复现，在最新版本中也可以复现。

而且，对于那些微软内部很知名，并且一直在研究中的那些问题，第一个符合条件的提交最多可以获得1500美金的漏洞奖励。

fb小编 liki 编译，来自freebuf.com