來(lái)源：新浪VR

微軟近日透露，已向安全研究人員獎(jiǎng)勵(lì)1370萬(wàn)美元，以獎(jiǎng)勵(lì)他們自去年7月以來(lái)反饋微軟軟件漏洞的行為。

微軟的漏洞獎(jiǎng)金是對(duì)研究軟件漏洞的研究人員的最大財(cái)政獎(jiǎng)勵(lì)之一。重要的是，這些研究人員要將漏洞報(bào)告給相關(guān)供應(yīng)商，而不是通過(guò)地下市場(chǎng)將漏洞賣(mài)給網(wǎng)絡(luò)犯罪分子，或者利用經(jīng)紀(jì)人將漏洞分發(fā)給政府機(jī)構(gòu)。

雷德蒙德公司有15個(gè)漏洞獎(jiǎng)勵(lì)項(xiàng)目，研究人員通過(guò)這些項(xiàng)目在2019年7月1日至2020年6月30日之間凈賺1370萬(wàn)美元。這一數(shù)字是去年同期440萬(wàn)美元的三倍。

微軟安全響應(yīng)中心的成員在一篇博客文章中表示：“在對(duì)手利用安全問(wèn)題之前，花時(shí)間揭露和報(bào)告安全問(wèn)題的研究人員贏得了我們的集體尊重和感激。”

通過(guò)漏洞獎(jiǎng)金向微軟和其他供應(yīng)商報(bào)告的漏洞可以幫助減少零日漏洞，在供應(yīng)商提供安全補(bǔ)丁阻止漏洞之前，攻擊者可以利用這些漏洞入侵系統(tǒng)。向用戶(hù)提供補(bǔ)丁也有助于在漏洞被披露后保護(hù)系統(tǒng)免受攻擊。

目前，微軟每年因漏洞而獲得的獎(jiǎng)金總額遠(yuǎn)高于谷歌公司獎(jiǎng)金總額。在2019年，谷歌公司因漏洞而獲得的獎(jiǎng)金總額為650萬(wàn)美元。這一數(shù)字是廣告和搜索巨頭雅虎前一年支出的兩倍，雅虎稱(chēng)這是“破紀(jì)錄的一年”。

根據(jù)谷歌漏洞搜索小組谷歌Project Zero或GPZ發(fā)布的最新數(shù)據(jù)，微軟在漏洞獎(jiǎng)金方面的大筆支出是合理的。

GPZ本周透露，今年上半年，已經(jīng)有11個(gè)零日漏洞被利用。這些漏洞很少被發(fā)現(xiàn)：微軟僅在3月份就修補(bǔ)了115個(gè)漏洞。但是在谷歌發(fā)現(xiàn)的11個(gè)漏洞中，微軟軟件占了4個(gè)。

微軟的漏洞包括ie瀏覽器CVE-2020-0674的漏洞，微軟在2月份打了補(bǔ)丁。在微軟今年發(fā)布補(bǔ)丁之前，還有三個(gè)Windows內(nèi)存破壞漏洞被利用。

根據(jù)GPZ的統(tǒng)計(jì)，在2019年受到攻擊的20個(gè)“零日”中，有11個(gè)涉及微軟的產(chǎn)品，這遠(yuǎn)遠(yuǎn)高于其他任何供應(yīng)商的“零日”，包括谷歌。

然而，谷歌指出，檢測(cè)偏向于微軟，因?yàn)橛懈嗟陌踩ぞ邔?zhuān)門(mén)檢測(cè)Windows漏洞。

微軟表示，今年獎(jiǎng)金總額較高是因?yàn)樗瞥隽?項(xiàng)新的獎(jiǎng)勵(lì)計(jì)劃和2項(xiàng)新的研究撥款。這些研究吸引了來(lái)自300多名研究人員的1000多份合格報(bào)告。

微軟還表示，COVID-19的社交距離促使了安全研究活動(dòng)的增加。

微軟表示：“在我們的所有15個(gè)獎(jiǎng)勵(lì)計(jì)劃中，我們看到在疫情爆發(fā)的頭幾個(gè)月，研究人員的參與度很高，報(bào)告數(shù)量也有所增加。”

微軟在此期間推出的獎(jiǎng)勵(lì)包括：

微軟Dynamics 365賞金計(jì)劃，于2019年7月啟動(dòng)

Azure安全實(shí)驗(yàn)室，于2019年8月推出

微軟Edge on Chromium獎(jiǎng)勵(lì)計(jì)劃，于2019年8月啟動(dòng)

選舉警衛(wèi)賞金計(jì)劃，于2019年10月啟動(dòng)

Xbox Bounty計(jì)劃，于2020年1月啟動(dòng)

Azure Sphere安全研究挑戰(zhàn)賽，于2020年5月啟動(dòng)