Jaa

新奖励计划详情

  • Artikkeli

今天,我们在此宣布即将推行以下有奖计划:缓解措施绕过奖金计划,蓝帽子防御奖金计划以及 IE 11 预览版漏洞奖金计划。我们很高兴终于能够对外公布这些活动,并期望能够从安全研究社区收到一些优秀的提案。我们将通过这些计划奖励研究人员的出色工作,并提升软件的安全性——这一切都将使我们的客户受益。而且,我们也热衷于分析和修复高难度的漏洞!

缓解措施绕过奖金计划

数据执行保护 (DEP) 和地址空间布局随机化 (ASLR) 等安全功能使得利用漏洞来攻击现代系统的成本和难度都在不断增大。因此,那些真正可以用来攻击现代系统漏洞的优秀攻击技术,它们的价值也在不断上升。通过研究新型攻击技术,我们可以设计更好的防御机制来帮助保护我们的客户,即使他们运行的软件中包含未知的或者尚未通过安全升级解决的漏洞。这就是我们推行缓解措施绕过奖金计划的原因。

优秀报告解析

针对缓解措施绕过奖金计划的一份高质量提案,需要描述并演示在已应用所有主流缓解技术(如 DEP、ASLR、SEHOP 等)的情况下,攻击一个或多个内存损坏类漏洞的全新方法。对于提交资格的基本要求是,它必须要提供包含了一份详细的白皮书以及一个可演示的有效攻击方法,该方法利用了实际远程代码执行漏洞的攻击技术。该技术需要达到较高的要求:它必须是通用的和可靠的,实现的前提条件相对合理,它必须应用到一个高风险的用户模式应用程序域,也要能够适用于我们产品的最新版本。完整的要求可以在官方规则中找到。

“JIT 喷射”就是符合此次缓解规避奖金计划的攻击技术的一个良好示例。这种技术是在 2010 年由 Dionysus Blazakis 第一次公开介绍的,它描述了利用即时编译器生成大量部分控制指令的方法,在不一致的偏移下执行时允许使用替代的指令流。结果,攻击者可以隐蔽地绕过 DEP 和 ASLR,从而更加容易地攻击多种类别的内存损坏漏洞。为了应对这种攻击技术,很多软件提供商发布了带有针对“ JIT 喷射”的内置缓解技术的 JIT 编译器。

蓝帽子防御奖金计划

除了鼓励研究者报告新型攻击技术之外,我们也欢迎参与者就如何缓解攻击技术提出建议。提案中如果包含针对符合资格的攻击技术阐述有效、实用且可靠的缓解方法的白皮书,则有机会获得额外高达 50,000 美元的奖金。

IE 11 预览版 漏洞 奖金计划

安全研究和防护团队与核心奖金计划团队合作,设定了 IE 11 预览版漏洞奖金计划的漏洞标准:

漏洞类型

故障转储

概念验证

功能性攻击

白皮书

沙箱突破

奖金基础级别

RCE 漏洞

可选

必需

必需

必需

必需

0

可能超出

11,000 美元*

可选

必需

必需

必需

可选

可选

必需

必需

可选

可选

1

最高奖金

11,000 美元

可选

必需

可选

可选

2

最低奖金

1,100 美元*

严重或更高级别的设计级漏洞

可选

必需

概念验证

即可

可选

可选

符合条件且涉及隐私的安全性 bug

可选

必需

可选

可选

可选

ASLR 信息披露漏洞

可选

必需

可选

3

最低奖金

500 美元*

沙箱突破漏洞

可选

必需

可选

可选

必需

有关提案标准的详细信息,请参见官方指南。值得注意的是,我们也对会影响到隐私的符合条件的安全性 bug 给予特别的关注,虽然这些 bug 可能会因其本质而被认为是漏洞,但是我们认为关注它们并积极地推动研究也很重要,这将能够推进我们在隐私保护方面的长期承诺。

优秀报告解析

提案的质量和完整度不仅决定了奖金额度,还关系到被审阅的优先级。高质量的提案应当包括漏洞根本原因的详细分析,以及能够可靠地再现问题的概念验证。这类信息将帮助我们尽快确认您的研究发现,以便为您颁发奖金!

最高奖将会颁发给包含了完整有效的攻击方法(详细演示了如何能够实现远程代码执行)的提案。这意味着攻击必须能够绕过 DEP 和 ASLR 等攻击缓解技术。这些提案使我们能够研究用于实现代码执行的攻击技术,并有机会确立新的攻击缓解功能。这样我们可以继续增加攻击所有类别的漏洞的成本和难度,而不仅仅是一次解决一个漏洞。

分类

SRD 团队还负责对提交的问题进行技术分类。我们邀请了几位微软签约安全研究人员来协助这项工作。目前分析人员有:

  • 内存损坏问题
    • Richard van Eeden
    • Ken Johnson
    • Michal Chmielewski
    • Kostya Kortchinsky
    • Matt Miller
  • 设计级问题
    • Mario Heiderich
    • Manuel Caballero
    • David Ross

 

  • IE 工程
    • Jim Fox
    • Wilson Guo
    • Forbes Higman
    • Prashant Singh

目前我们的目标是在收到报告的两周之内反馈并确定奖金额度。

最后请注意,IE 11 预览版漏洞奖金计划有效期为 2013 年 6 月 26 日到 7 月 26 日,请务必准备好报告并及时提交。

后续

这些计划能够得到推行,我们非常激动,真诚期盼收到您的提案。

- Matt Miller, David Ross