微软将影响在线服务的第三方漏洞纳入奖励计划

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软安全响应中心的工程副总裁 Tom Gallagher 在欧洲黑帽大会上宣布称，任何影响其在线服务的严重漏洞，无论代码是由微软还是第三方编写的，均被纳入漏洞奖励计划。

Gallagher 解释称，攻击者在利用漏洞时并不区分微软代码和第三方组件，因此微软漏洞奖励计划将默认涵盖所有微软在线服务，新服务发布之时即纳入奖励范围。目前漏洞奖励计划涵盖影响微软在线服务的位于第三方（包括商用或开源组件）依赖中的漏洞。

Gallagher 表示，“从今天开始，如果某严重漏洞对我们的在线服务造成直接且可验证的影响，就有资格获得奖励。不管代码是否由微软所有还是管理、是否是第三方代码或者是否开源，我们将竭尽所能解决这个问题。我们的目标是激励最高风险领域的研究工作，尤其是威胁人员最可能利用的领域。在没有现有漏洞奖励计划的情况下，无论安全研究界的专长4何处，我们将认可并嘉奖他们的多样化深刻洞察能力。”

微软已在过去12个月中，向344名安全研究员发放了超过1700多万美元的奖励，在2024年这一数字是1660万美元。微软本次涵盖第三方代码漏洞的措施是其“安全未来倡议”的一部分，而该倡议旨在将安全置于所有安全运营之首。

根据该倡议，微软还禁用了位于Windows 版本 Microsoft 365和 Office 2024 应用中的所有 ActiveX 控制，并更新 Microsoft 365 安全默认值，拦截通过遗留认证协议访问 SharePoint、OneDrive和Office 文件的行为。最近，微软推出一个新的 Team 特性，在会议过程中拦截截屏尝试；另外还发布了保护 Entra ID 登录以免遭脚本注入攻击的计划。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

微软扩展Copilot AI漏洞奖励计划范围，提高赏金

微软推出 Defender 漏洞奖励计划，最高奖金$2万

微软推出新的AI漏洞奖励计划，重在Bing用户体验

通过配置不当的微软app劫持Bing 搜索结果，获得4万美元漏洞奖励

微软Azure新漏洞可导致RCE，研究员获3万美元奖励

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-bounty-program-now-includes-any-flaw-impacting-its-services/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~