微軟懸賞15萬美元鼓勵尋找Win8.1安全漏洞

新浪科技訊 北京時間6月20日早間消息，微軟周三宣佈了一項新的漏洞獎勵計劃。對於信息安全研究人員發現的Windows 8.1或IE11的漏洞，每個漏洞微軟有可能給予最高15萬美元的獎勵。

去年，微軟曾在Bluehat大賽中推出了漏洞獎勵措施。不過，Bluehat大賽並非關注尋找漏洞，而是尋找最有價值、最具創新性的解決方式。去年夏季，在拉斯維加斯的Black Hat信息安全大會上，微軟發放了20萬美元的高額獎金。

在最新的獎勵計劃中，微軟的獎勵分為3種。如果研究人員找到針對Windows 8.1保護機制的新漏洞，那麼可以獲得最高10萬美元的“減輕繞開獎金”。而如果研究人員能針對已確認的攻擊技術提供有效的防禦措施，那麼還可以獲得5萬美元額外的“Bluehat防禦獎金”。因此針對單個漏洞的獎金總額最高達到15萬美元。

此外，微軟還提供了“IE11預覽版漏洞獎金”。對於研究人員發現的Windows 8.1中IE11的關鍵漏洞，微軟將支付每個漏洞1.1萬美元的獎金。

微軟新的漏洞獎勵計劃將於6月26日開始。屆時微軟也將發布帶IE11的Windows 8.1預覽版。“減輕繞開獎金”和“Bluehat防禦獎金”將長期提供，而“IE11預覽版漏洞獎金”將只持續30天。

微軟高級安全策略師凱蒂·莫蘇裡斯(Katie Moussoris)在博客中宣佈了這一漏洞獎勵計劃的啟動。他表示，微軟此前已進行了大量工作，解決相關軟件中的漏洞。目前微軟將與信息安全研究人員甚至黑客合作，在漏洞帶來惡意攻擊事件之前找到並解決這些漏洞。

Veracode聯合創始人及首席技術官克里斯·維索佩爾(Chris Vysopal)表示，漏洞獎勵計劃的最大好處在於鼓勵信息安全研究社區與微軟合作，而不是對抗。此前，許多信息安全研究人員認為，他們完成了本應由軟件公司完成了大量勞動，但卻沒有得到任何報酬。而類似微軟此次開展的漏洞獎勵計劃將帶來必要的激勵，促使信息安全研究人員在找到漏洞后首先上報，並在漏洞解決前對其保密。

業內人士認為，這一漏洞獎勵計劃將有助於改進微軟的所有品。近年來，微軟採取了大量工作，以加強漏洞減輕技術，不過仍有很大的提升空間。(張帆)