微软本周披露了全新的应用程序漏洞挖掘项目(Applications Bounty Program),准备针对微软的各种应用程序祭出漏洞挖掘奖励,奖金从500美元到3万美元不等,第一个上线的是Microsoft Teams。
虽然Teams具备支持Windows、macOS与Linux的PC机版,也提供支持Android及iOS的移动版,但本周微软披露的漏洞挖掘项目仅适用于PC机版,至于Teams Online线上版的漏洞,则被隶属于线上服务漏洞挖掘项目(Online Services Bounty Program)。
Teams漏洞挖掘方案主要分为高影响力的场景奖励(Scenario Awards)与一般奖励(General Awards),场景奖励的奖金从6千美元到3万美元不等,漏洞范围包括:发现XSS或其它的程序注入途径,而得以执行任意脚本程序(需或不需要用户交互)、可穿越操作系统用户边界的权限扩张漏洞、非利用网络钓鱼而能取得其他用户凭证的漏洞,以及不需用户交互就能执行远程程序攻击。
至于一般奖励则涵盖篡改、欺骗、信息披露、权限扩张到远程程序攻击等漏洞,奖励金额则视漏洞严重程度,从500美元到1.5万美元不等。
微软表示,上述为既定的奖金标准,但该公司也可根据漏洞的严重性、影响力,甚至是研究人员所提交的研究品质,授给更高的奖金。