微软透露,自去年7月以来,它已向安全研究人员奖励1370万美元,以奖励他们报告微软软件中的漏洞。
对于调查软件缺陷的研究人员来说,微软的漏洞赏金是最大的经济奖励来源之一,重要的是,他们会将缺陷报告给相关供应商,而不是通过地下市场将其出售给网络犯罪分子,或者利用中间商将其分销给政府机构。
这家雷德蒙德公司有15个漏洞赏金项目,研究人员在2019年7月1日至2020年6月30日期间通过这些项目净赚了1370万美元。这一数字是去年同期440万美元的三倍。
微软安全响应中心(Microsoft Security Response Center)的成员在一篇博文中表示,研究人员花时间在对手利用安全问题之前发现和报告这些问题,赢得了我们的集体尊重和感激。
通过漏洞赏金向微软和其他供应商报告的漏洞可以帮助减少所谓的零日漏洞的数量,在供应商提供安全补丁来阻止它们之前,攻击者可以使用这些漏洞来危害系统。在漏洞被披露后,向用户提供补丁程序还有助于保护系统免受攻击。
微软每年的漏洞赏金总额现在远远高于谷歌对其软件安全缺陷的奖励,后者在2019年日历年总计650万美元。这一数字是这家广告和搜索巨头前一年支出的两倍,后者称这是破纪录的一年。
根据谷歌漏洞追踪小组(Google Project Zero,简称GPZ)发布的最新数据,微软在漏洞赏金支出上的较大支出可能是合理的。
GPZ本周透露,今年上半年已有11个零日漏洞在野外被利用。这些漏洞的发现非常罕见:仅在3月份,微软就修补了115个漏洞。但在谷歌发现的2020年被广泛使用的11个漏洞中,有4个是由微软软件构成的。
微软的缺陷包括Internet Explorer中的漏洞CVE-2020-0674,微软在2月份修补了这个漏洞。然后,在微软今年发布补丁之前,又有三个Windows内存损坏漏洞被利用。
2019年,据GPZ统计,当年受到攻击的20个零日中,有11个影响了微软产品,远高于包括谷歌在内的任何其他厂商利用的零日。
然而,谷歌指出,人们对微软存在检测偏见,因为有更多的安全工具专门用于检测Windows漏洞。
微软表示,今年总支出较高是因为它推出了六个新的赏金计划和两个新的研究拨款。这些研究吸引了来自300多名研究人员的1000多份合格报告。
微软表示:在我们所有的15个赏金项目中,我们看到在大流行的头几个月里,研究人员的参与度很高,报告量也更高。
注册后,即表示您同意使用条款并承认隐私政策中概述的数据做法。
您还可以免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。
您同意接收来自CBS系列公司的更新、提醒和促销信息,包括ZDNet的今日技术更新和ZDNet公告时事通讯。你可以随时退订。
通过注册,您同意接收您可以随时取消订阅的选定时事通讯。您也同意使用条款,并承认我们的隐私政策中概述的数据收集和使用做法。
Firefox79中已经激活了新的保护;在接下来的几周内将向所有Firefox用户推出新的保护。
卡巴斯基说,石油钻井公司(APT34)组织一直在使用DoH悄悄地从被黑客攻击的网络中窃取数据。
Sophos的安全研究人员详细信息WastedLocker如何避免检测-它涉及到错综复杂的知识是如何Windows函数的内部工作方式。..。
随着脑机接口技术的发展速度加快,安全和隐私是否被抛在了后面?
澳大利亚';S的应急保险可能还会继续处于初创阶段阶段,但是它';3.S已经帮客户付款了巨额勒索软件发票把所有东西都拿回来。..。
通过机器学习,合规性问题,例如仇恨言论会自动已标记为要审阅,并且提醒帐户所有者注意泄露的凭据。..。