来源:新浪VR
微软近日透露,已向安全研究人员奖励1370万美元,以奖励他们自去年7月以来反馈微软软件漏洞的行为。
微软的漏洞奖金是对研究软件漏洞的研究人员的最大财政奖励之一。重要的是,这些研究人员要将漏洞报告给相关供应商,而不是通过地下市场将漏洞卖给网络犯罪分子,或者利用经纪人将漏洞分发给政府机构。
雷德蒙德公司有15个漏洞奖励项目,研究人员通过这些项目在2019年7月1日至2020年6月30日之间净赚1370万美元。这一数字是去年同期440万美元的三倍。
微软安全响应中心的成员在一篇博客文章中表示:“在对手利用安全问题之前,花时间揭露和报告安全问题的研究人员赢得了我们的集体尊重和感激。”
通过漏洞奖金向微软和其他供应商报告的漏洞可以帮助减少零日漏洞,在供应商提供安全补丁阻止漏洞之前,攻击者可以利用这些漏洞入侵系统。向用户提供补丁也有助于在漏洞被披露后保护系统免受攻击。
目前,微软每年因漏洞而获得的奖金总额远高于谷歌公司奖金总额。在2019年,谷歌公司因漏洞而获得的奖金总额为650万美元。这一数字是广告和搜索巨头雅虎前一年支出的两倍,雅虎称这是“破纪录的一年”。
根据谷歌漏洞搜索小组谷歌Project Zero或GPZ发布的最新数据,微软在漏洞奖金方面的大笔支出是合理的。
GPZ本周透露,今年上半年,已经有11个零日漏洞被利用。这些漏洞很少被发现:微软仅在3月份就修补了115个漏洞。但是在谷歌发现的11个漏洞中,微软软件占了4个。
微软的漏洞包括ie浏览器CVE-2020-0674的漏洞,微软在2月份打了补丁。在微软今年发布补丁之前,还有三个Windows内存破坏漏洞被利用。
根据GPZ的统计,在2019年受到攻击的20个“零日”中,有11个涉及微软的产品,这远远高于其他任何供应商的“零日”,包括谷歌。
然而,谷歌指出,检测偏向于微软,因为有更多的安全工具专门检测Windows漏洞。
微软表示,今年奖金总额较高是因为它推出了6项新的奖励计划和2项新的研究拨款。这些研究吸引了来自300多名研究人员的1000多份合格报告。
微软还表示,COVID-19的社交距离促使了安全研究活动的增加。
微软表示:“在我们的所有15个奖励计划中,我们看到在疫情爆发的头几个月,研究人员的参与度很高,报告数量也有所增加。”
微软在此期间推出的奖励包括:
微软Dynamics 365赏金计划,于2019年7月启动
Azure安全实验室,于2019年8月推出
微软Edge on Chromium奖励计划,于2019年8月启动
选举警卫赏金计划,于2019年10月启动
Xbox Bounty计划,于2020年1月启动
Azure Sphere安全研究挑战赛,于2020年5月启动