En su anuncio, Microsoft da a entender que habrá incluso premios mayores en dinero efectivo, aunque sin dar detalles específicos sobre el importe, ni tampoco qué tipo de descubrimiento motivaría el pago más voluminoso: “Microsoft podría pagar más de 15.000 $, dependiendo de la calidad y la complejidad de la información recibida”.
Project Spartan bug programme (programa de errores de código del Proyecto Spartan) se prolongará hasta el 22 de junio, y estará disponible a nivel internacional para todos los interesados mayores de 14 años de edad.
“Durante la duración del programa, individuos de todo el planeta tendrán la oportunidad de presentar las vulnerabilidades que hayan detectado en los navegadores de Microsoft, incluidas la última versión beta del navegador para la plataforma Windows”, escribe la empresa.
Los aportes calificados tendrán la posibilidad de recibir recompensas que serán abonados a discreción de Microsoft, con base en la calidad y la complejidad de la vulnerabilidad.
La empresa recalca que no se aceptará la participación de sus propios empleados ni de representantes de empresas o países que estén afectos a las sanciones por parte de Estados Unidos, como por ejemplo Corea del Norte.
Microsoft explicó que los aportes que contengan la información más completa se harán acreedores a los mayores pagos, agregando que las vulnerabilidades deben ser relativamente fáciles de explotar, y que no requieren que el usuario se vea en la necesidad de realizar acciones “extensas o improbables”.
Las mayores recompensas serán otorgadas por información sobre ataques exitosos que se basen en ejecución remota de código, como asimismo vulnerabilidades que escapen a las sandboxes. Asimismo, las presentaciones deberán incluir evidencia de la prueba de concepto, como asimismo un exploit que sea replicables.
La empresa también está dispuesta a pagar por un vulnerabilidades detectadas en EdgeHTML.dll y Address Space Layout Randomisation.
“El objetivo del programa de recompensas por la detección de errores de código es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de nuestros usuarios, y en los datos de éstos”, concluye señalando Microsoft, que agregar que los aportes serán aceptados sólo si afectan la compilación más reciente de Windows 10, denominada “Threshold” (umbral), de Microsoft.
| Vulnerability type | Proof of concept | Functioning exploit | Report | Payout range |
| Remote Code Execution in Project Spartan | required | required | High Quality | Up to $15,000 USD* |
| required | No | High Quality | Up to $6,000 USD* | |
| required | No | Low Quality | Up to $1,500 USD* | |
| Sandbox Escape Vulnerability with Enhanced Protected Mode or in Project Spartan | required | required | High Quality | Up to $15,000 USD* |
| required | No | High Quality | Up to $6,000 USD* | |
| required | No | Low Quality | Up to $1,500 USD* | |
| Important or Higher Severity Vulnerability in Project Spartan or EdgeHTML.dll | required | Optional | High Quality | Up to $6,000 USD* |
| required | No | Low Quality | Up to $1,500 USD* | |
| ASLR Info Disclosure Vulnerability in Project Spartan or EdgeHTML.dll | required | n/a | n/a | $500 USD* |
Comentarios