Microsoft aumenta recompensas pela detecção de bugs

A Microsoft aumentou as recompensas monetárias para quem reportar problemas de segurança nos seus produtos.

©Microsoft
©Microsoft

A Microsoft actualizou os termos do programa de detecção de bugs para adicionar mais produtos à lista de software elegível para expressar com mais precisão aquilo que a empresa espera do programa.

As recompensas foram substancialmente aumentadas para a detecção destes tipos de problemas:

Execução remota de código através de inputs não confiáveis (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”) – aumento de 30% do valor máximo da recompensa.

Execução remota de código através de inputs não confiáveis (CWE-502 “Deserialization of Untrusted Data”) – aumento de 30% do valor máximo da recompensa.

Divulgação de dados sensíveis sem autorização (CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”) – aumento de 20% do valor máximo da recompensa.

Divulgação de dados sensíveis sem autorização (CWE-488 “Exposure of Data Element to Wrong Session”) – aumento de 20% do valor máximo da recompensa.

Vulnerabilidades que possam ser usadas em ataques que permitam o acesso a recursos ultrapassando o sistema de autenticação (CWE-918 “Server-Side Request Forgery (SSRF)”) – aumento de 15% do valor máximo da recompensa.

A lista completa das alterações pode ser consultada na página da Microsoft. Esta lista também inclui uma relação completa dos produtos e serviços da Microsoft que estão no programa de detecção de bugs.

A detecção de muitos bugs cujo nível de ameaça seja considerado moderado ou baixo não dá direito a qualquer recompensa.