Microsoft готова заплатить до 40 000 долларов за успешный взлом .NET
от: 31-07-2025 22:25 | раздел: Новости
Многие компании предлагают программы вознаграждений за обнаружение уязвимостей в их программном обеспечении, поощряя профессиональных хакеров и пользователей искать и находить в нем уязвимости безопасности, а затем сообщать о них в частном порядке поставщику, чтобы можно было внедрить исправление и применить его до того, как ими воспользуется настоящий злоумышленник. Исследователи безопасности и другие представители общественности получают за это неплохое финансовое вознаграждение. Теперь Microsoft объявила о крупных обновлениях своей программы вознаграждений за .NET.
Размер вознаграждений теперь начинается с 7 000 долларов и достигает впечатляющей суммы в 40 000 долларов. Имейте в виду, что вознаграждение наивысшего уровня предоставляется только за раскрытие в частном порядке информации об уязвимости удалённого выполнения кода (RCE) или повышения привилегий (EoP) с полным документированием и критическим воздействием.
Распределение вознаграждений по различным уровням выглядит следующим образом:
| Security Impact | Report Quality | Critical | Important |
|---|
| Remote Code Execution | Complete | $40,000 | $30,000 |
| Not Complete | $20,000 | $20,000 |
| Elevation of Privilege | Complete | $40,000 | $10,000 |
| Not Complete | $20,000 | $4,000 |
| Security Feature Bypass | Complete | $30,000 | $10,000 |
| Not Complete | $20,000 | $4,000 |
| Remote Denial of Service | Complete | $20,000 | $10,000 |
| Not Complete | $15,000 | $4,000 |
| Spoofing or Tampering | Complete | $10,000 | $5,000 |
| Not Complete | $7,000 | $3,000 |
| Information Disclosure | Complete | $10,000 | $5,000 |
| Not Complete | $7,000 | $3,000 |
| Documentation or samples included in documentation are insecure or encourage insecurity and are not described as samples which do not take security into consideration | Complete | $10,000 | $5,000 |
| Not Complete | $7,000 | $3,000 |
Важно отметить, что программа вознаграждений .NET в первую очередь ориентирована на .NET и ASP.NET Core, включая Blazor и Aspire. Однако новые категории продуктов теперь включают все поддерживаемые версии .NET и ASP.NET, ASP.NET Core для .NET Framework, шаблоны, предоставляемые вместе с вышеупомянутыми компонентами, действия GitHub в их репозиториях и смежные технологии, такие как F#.
Обновлённая структура вознаграждений обеспечивает чёткое определение уровней серьёзности, чтобы серьёзные проблемы приносили более высокие вознаграждения. Также даются рекомендации по тому, как отчёт может считаться «завершённым». Подробнее об этом можно узнать в
специальной публикации в блоге Microsoft.
Иван Ковалев
VIA
Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем
Telegram-канале !
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
И еще на эту тему...
Пользователи Windows 11 получают исправления некоторых давних ошибок в 24H2, включая лекарство от серьезно раздражающего сбоя File ExplorerDeepSeek обещает поделиться еще большим количеством кода ИИ для всех разработчиковПоследняя бета-версия watchOS 11 блокирует Apple Watch и ее пришлось отозватьПроцессоры Intel 13-го и 14-го поколения получили новый BIOS для исправления ошибки микрокода eTVBApple исправила опасную уязвимость WebKit в своих последних обновленияхЗлоумышленники могут похищать данные в чипах AMD, Apple и Qualcomm путем использования памяти графического процессораApple сообщила регуляторам ЕС, что у нее есть сразу три браузера с названием SafariНовости соцсетей: Mastodon, Цукербер и TwitterИнженеры Microsoft используют ChatGPT для обучения роботов и дроновЭксперты CISA рекомендуют срочно удалить уязвимые продукты VMwareЭкстренное обновление Apple исправляет уязвимость "нулевого дня" для компьютеров Mac и умных часовУязвимость "нулевого дня" в Windows снова получила неофициальное исправлениеУязвимости в Zoom позволяли хакерам получить доступ к аккаунту пользователя"Белый квадрат" объявил программу фестиваля 2021 годаKaspersky ICS CERT в прошлом году обнаружил в беларуских АСУ на 50% больше уязвимостейВ Беларуси появилась IT-вакансия для настоящего хакераКак заниматься кибербезопасностью там, где это никому не нужно: опыт КазахстанаESET: Средства с банковских счетов теперь можно украсть новым способомВ Adobe Reader и Microsoft Windows обнаружены критические уязвимости типа 0-dayPositive Technologies обнаружила опасные уязвимости в оборудовании Siemens для электроподстанций
