SIKKERHET

Microsoft vil betale for sårbarheter i Windows 10

Utvider de eksisterende ordningene.

Microsoft har lansert mer omfattende dusørordninger for funn av sårbarheter i blant annet Windows 10.
Microsoft har lansert mer omfattende dusørordninger for funn av sårbarheter i blant annet Windows 10. Bilde: Colourbox, skjermbilde. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
27. juli 2017 - 09:31

Microsoft kunngjorde i går at selskapet har etablert Windows Bounty Program, et dusørprogram for Windows 10 hvor selskapet vil betale ut belønning til personer eller virksomheter som finner relativt alvorlige sårbarheter i operativsystemet. 

Hvor stor dusøren er, avhenger av alvorligheten til sårbarheten og i hvilken komponent den befinner seg. 

I utgangspunktet er det kun sårbarheter som finnes i Windows Insider Preview-utgavene (slow ring) som kvalifiserer til en dusør. Enhver sårbarhet som utløser en kritisk eller viktig sikkerhetsoppdatering, er kvalifisert, uavhengig om sårbarheten åpner for fjernkjøring av kode, økte privilegier eller dreier seg om en designfeil som kompromittere personvernet og sikkerheten til brukerne. 

Les også: Google og Microsoft gjør det mer attraktivt å lete etter sårbarheter

Opptil 250 000 dollar

I utgangspunktet vil Microsoft betale ut mellom 500 og 15 000 dollar for ansvarsfull rapportering av slike sårbarheter. Det samme gjelder også for sårbarheter som blir oppdaget i nettleseren Edge, et dusørprogram som ble etablert for omtrent et år siden. 

Men innen visse fokusområder kan belønningen være langt høyere. Rapporter om sårbarheter i Windows Defender Application Guard kan bli belønnet med opptil 30 000 dollar. 

Men i visse tilfeller kan selskapet betale ut opptil 100 000 dollar for rapporter om Windows 10-sårbarheter, og ytterligere 100 000 dollar dersom varsleren også beskriver en kvalifisert forsvarsteknikk som forhindrer utnyttelse av sårbarheten. Dette forutsetter dog et konseptbevis hvor man er i stand til å omgå alle eksisterende forsvarsmekanismer i operativsystemet, inkludert DEP, ASLR, CFG, CIG, ACG, Device Guard og Credential Guard.

Men dette er dusørprogrammer som Microsoft etablerte allerede for noen år siden.

Microsoft lover dessuten en dusør på mellom 5 000 og 250 000 dollar for rapporter om sårbarheter som åpner for fjernkjøring av kode, avsløring av informasjon eller tjenestenekt (DoS) i hypervisoren Hyper-V. Dette dusørprogrammet er ikke nytt, men størrelsen på dusørene har blitt økt.

Microsoft har også egne dusørprogrammer for .NET Core og ASP.NET Core, samt for en del av selskapets nettskytjenester.

Leste du denne? Det er ikke bare selskaper i IT-bransjen som velger «hackerdrevet» sikkerhet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.