A Microsoft actualizou os termos do programa de detecção de bugs para adicionar mais produtos à lista de software elegível para expressar com mais precisão aquilo que a empresa espera do programa.
As recompensas foram substancialmente aumentadas para a detecção destes tipos de problemas:
Execução remota de código através de inputs não confiáveis (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”) – aumento de 30% do valor máximo da recompensa.
Execução remota de código através de inputs não confiáveis (CWE-502 “Deserialization of Untrusted Data”) – aumento de 30% do valor máximo da recompensa.
Divulgação de dados sensíveis sem autorização (CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”) – aumento de 20% do valor máximo da recompensa.
Divulgação de dados sensíveis sem autorização (CWE-488 “Exposure of Data Element to Wrong Session”) – aumento de 20% do valor máximo da recompensa.
Vulnerabilidades que possam ser usadas em ataques que permitam o acesso a recursos ultrapassando o sistema de autenticação (CWE-918 “Server-Side Request Forgery (SSRF)”) – aumento de 15% do valor máximo da recompensa.
A lista completa das alterações pode ser consultada na página da Microsoft. Esta lista também inclui uma relação completa dos produtos e serviços da Microsoft que estão no programa de detecção de bugs.
A detecção de muitos bugs cujo nível de ameaça seja considerado moderado ou baixo não dá direito a qualquer recompensa.
