聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
微软发布了 Xbox 游戏平台官方漏洞奖励计划。
微软表示,如果研究人员能从 Xbox Live网络和服务中找到漏洞,则奖励500美元到2万美元不等。微软指出,任何人均可提交漏洞,不管是游戏玩家还是安全专家均可提交。
微软安全响应中心 (MSRC) 项目经理 Chloé Brown 指出,漏洞报告必须包括“一份简洁明了的概念验证 (POC)”。该 POC 需要验证 bug 的影响,并允许 Xbox 团队在修复所报告问题之前重现漏洞
该漏洞奖励计划规定,“微软将根据漏洞的严重程度和影响力以及漏洞报告的质量确定奖励金数额。”计划将涵盖 Xbox Live 云后端基础设施。奖励金的具体范围和金额如下:
安全影响 | 报告质量 | 严重程度 | |||
严重 | 重要 | 中危 | 低危 | ||
远程代码执行 | 高 | 2万美元 | 1.5万美元 | N/A | N/A |
中 | 1.5万美元 | 1万美元 | |||
低 | 1万美元 | 5000美元 | |||
提权 | 高 | 8000美元 | 5000美元 | 0 | N/A |
中 | 4000美元 | 2000美元 | |||
低 | 3000美元 | 1000美元 | |||
安全特征绕过 | 高 | N/A | 5000美元 | 0 | N/A |
中 | 2000美元 | ||||
低 | 1000美元 | ||||
信息暴露 | 高 | N/A | 5000美元 | 0 | 0 |
中 | 2000美元 | ||||
低 | 1000美元 | ||||
欺骗 | 高 | N/A | 5000美元 | 0 | 0 |
中 | 2000美元 | ||||
低 | 1000美元 | ||||
篡改 | 高 | N/A | 5000美元 | 0 | 0 |
中 | 2000美元 | ||||
低 | 1000美元 | ||||
拒绝服务 | 高/低 | 不在范围内 |
Xbox 漏洞奖励计划也提出了一些限制条件。例如,微软禁止并自动取消做出如下行为的赏金猎人:试图钓鱼或社工 Xbox 用户和工程师;除为证明漏洞影响所需的最小访问权限外,在 Xbox 网络内部横向移动;或下载或访问敏感的 Xbox 用户数据。
Xbox 平台早在2012年就出现。即使微软已成为最早运行漏洞奖励计划的技术公司之一,但 Xbox从未被涵盖在内。截至目前,微软已经奖励从 Windows 操作系统,Office 组件,IE 和 Edge web 浏览器,大量云服务、Hyper-V 管理程序技术和 ElectionGuard开源投票软件。
推荐阅读
奇安信代码卫士帮助微软修复Windows 内核漏洞,获官方致谢和奖金
开源系统Kubernetes 推出公开漏洞奖励计划,最高奖赏1万美元
原文链接
https://www.zdnet.com/article/microsoft-launches-xbox-bug-bounty-program-with-rewards-of-up-to-20000/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~