Microsoft zapłaci za zgłoszenia luk w Office 365 nawet 15 tys. dolarów

Eksperci z Google Project Zero od trzech lat szukają luk w zabezpieczeniach oprogramowania wykorzystującego połączenie z Internetem, co w dzisiejszych warunkach stanowi lwią część aplikacji. W ostatnim czasie aż trzykrotnie – zgodnie z przyjętym 90-dniowym okresem ochronnym – Google ujawniło niezałatane jeszcze podatności w produktach Microsoftu.

Jako odpowiedź na tę presję ze strony Google można postrzegać uruchomiony właśnie przez Microsoft nowy program bug bounty, w którym eksperci wynagradzani są za odnajdywanie luk sławą i pieniędzmi. Aktualnie korporacja prowadzi bug bounty między innymi w przypadku Edge'a, środowiska .NET Core, ASP.NET czy usług Azure.

Lista właśnie powiększyła się o pakiet biurowy Office 365. W listopadzie 2015 roku Microsoft uruchomił dla swojego pakietu program testów Inisider, którego uczestnicy mogą testować nowości w pierwszej kolejności. Odtąd mają oni dodatkową motywację do zgłaszania podatności w postaci nagrody pieniężnej w wysokości od 500 do 15 tys. dolarów. Otrzymają ją testerzy, którzy zgłoszą lukę jako pierwsi, ale także ci, którzy uzupełnią zgłoszenie o nowe informacje.

Microsoft sprecyzował swoje oczekiwania: dotyczą one możliwości ominięcia mechanizmu blokowania wykonywalnych załączników w Outlooku (maksymalnie 6 lub 9 tys. dolarów, w zależności od szczegółowości zgłoszenia), wykorzystania do ataku makra w Wordzie, Excelu lub PowerPoincie, a także zmiany uprawnień umożliwiających opuszczenie piaskownicy Office Protected View. W ostatnich dwóch przypadkach wysokość nagrody wynosi maksymalnie 9 lub 15 tys. dolarów. Szczegóły programu znaleźć można na stronach TechNet Microsoftu. Bug bounty dla Office'a potrwa do 15 czerwca.